Reuters ha pubblicato un articolo di avvertimento secondo cui il colosso cinese Xiaomi sta registrando i dati personali di milioni di persone sulle loro attività online e sull'utilizzo dei dispositivi. “È una backdoor per la funzionalità di un telefono”, ha detto Gabi Cirlig, quasi scherzando, riguardo al suo nuovo smartphone Xiaomi.
Questo esperto ricercatore di sicurezza informatica ha parlato con Forbes dopo aver scoperto che il suo smartphone Redmi Note 8 spiava tutto ciò che faceva. Questi dati sono stati poi inviati a server remoti ospitati dal colosso tecnologico cinese Alibaba, che probabilmente sono stati affittati da Xiaomi.
Il signor Kirlig ha scoperto che veniva tracciata una quantità allarmante di informazioni sul suo comportamento mentre dall'apparecchio venivano raccolti contemporaneamente diversi tipi di dati: lo specialista era inorridito dal fatto che i dettagli della sua identità e della sua vita privata fossero completamente noti all'azienda cinese.
Quando navigava nei siti web nel browser Xiaomi predefinito sul dispositivo, quest'ultimo registrava tutti i siti visitati, comprese le query dei motori di ricerca, sia esso Google o DuckDuckGo incentrato sulla privacy, e tutti gli elementi visualizzati nel news feed della shell Xiaomi venivano anche registrato. Inoltre, tutta questa sorveglianza ha funzionato anche quando è stata utilizzata la modalità “incognito”.
Il dispositivo ha registrato quali cartelle sono state aperte, quali schermate sono state cambiate, anche quando si trattava della barra di stato e della pagina delle impostazioni del dispositivo. Tutti i dati sono stati inviati in batch a server remoti a Singapore e in Russia, sebbene i domini web dei server fossero registrati a Pechino.
Su richiesta di Forbes, un altro ricercatore di sicurezza informatica, Andrew Tierney, ha condotto la propria indagine. Ha scoperto inoltre che i browser forniti da Xiaomi su Google Play – Mi Browser Pro e Mint Browser – raccolgono gli stessi dati. Secondo le statistiche di Google Play, insieme sono stati installati più di 15 milioni di volte, il che significa che milioni di dispositivi potrebbero essere interessati.
I problemi, secondo Kirlig, riguardano un numero molto maggiore di modelli. Ha scaricato il firmware per altri telefoni Xiaomi, tra cui Xiaomi Mi 10, Xiaomi Redmi K20 e Xiaomi Mi MIX 3, prima di confermare che utilizzano un browser identico e probabilmente soffrono degli stessi problemi di privacy.
Sembra che ci siano anche difficoltà con il modo in cui Xiaomi trasferisce i dati ai suoi server. Sebbene l'azienda cinese affermi che i dati sono crittografati, Gabi Kirlig ha scoperto di poter vedere rapidamente ciò che è stato scaricato dal suo dispositivo perché la crittografia utilizza il più semplice algoritmo base64. Ci sono voluti solo pochi secondi per convertire i pacchetti di dati in informazioni leggibili. Inoltre ha avvertito: "La mia principale preoccupazione riguardo alla privacy è che i dati inviati ai server remoti possono essere facilmente associati a un utente specifico".
In risposta ai risultati dei suddetti esperti, un portavoce di Xiaomi ha affermato che le affermazioni della ricerca non sono vere, che la privacy e la sicurezza sono di fondamentale importanza e che la società aderisce rigorosamente ed è pienamente conforme alle leggi e ai regolamenti locali riguardanti le questioni relative alla privacy degli utenti. . Ma il portavoce ha confermato che vengono raccolti dati di navigazione, affermando che le informazioni sono anonime e non legate a nessun individuo e che gli utenti acconsentono a tale tracciamento.
Ma come sottolineano Gabi Kirlig e Andrew Tierney, non venivano inviate al server solo informazioni sui siti web visitati o sulle ricerche effettuate su Internet: Xiaomi raccoglieva anche dati sul telefono, compresi numeri univoci per identificare un dispositivo specifico e una versione di Android. Se lo si desidera, tali metadati possono essere facilmente correlati alla persona reale dietro lo schermo.
Un portavoce di Xiaomi ha inoltre respinto le affermazioni secondo cui i dati di navigazione vengono registrati in modalità di navigazione in incognito. Tuttavia, i ricercatori di sicurezza hanno scoperto nei loro test indipendenti che il loro comportamento online invia messaggi a server remoti indipendentemente dalla modalità in cui è in esecuzione il browser, fornendo come prova sia foto che video.
Quando i giornalisti di Forbes hanno fornito a Xiaomi un video che mostrava come le ricerche di Google e le visite al sito web venivano inviate a server remoti anche in modalità di navigazione in incognito, un portavoce dell'azienda ha continuato a negare che le informazioni fossero state registrate: “Questo video dimostra la raccolta di dati di navigazione anonimi, che è una delle decisioni più comuni prese dalle società Internet per migliorare l'esperienza di navigazione complessiva analizzando le informazioni non identificabili personalmente."
Tuttavia, gli esperti di sicurezza ritengono che il comportamento del browser Xiaomi sia molto più aggressivo rispetto ad altri browser popolari come Google Chrome o Apple Safari: questi ultimi non registrano il comportamento del browser, URL compresi, senza il consenso esplicito dell'utente e in modalità di navigazione privata.
Inoltre, nella sua ricerca, il signor Kirlig ha scoperto che il lettore musicale preinstallato sugli smartphone Xiaomi raccoglie informazioni sulle abitudini di ascolto: quali brani vengono riprodotti e quando.
Gabi Kirlig sospetta anche che Xiaomi stia monitorando l'utilizzo del software perché ogni volta che apre le app, una piccola quantità di informazioni viene inviata a un server remoto. Un altro ricercatore anonimo citato da Forbes ha affermato di aver registrato anche il modo in cui i telefoni dell'azienda cinese raccoglievano dati simili. Xiaomi non ha commentato questo argomento.
Si dice che i dati vengano inviati alla società di analisi cinese Sensors Analytics (nota anche come Sensors Data), fondata nel 2015 e impegnata nell'analisi approfondita del comportamento degli utenti e nella fornitura di servizi di consulenza professionale. I suoi strumenti aiutano i clienti a esplorare i dati nascosti esaminando i principali modelli di comportamento. Un portavoce di Xiaomi ha confermato il collegamento con la startup: "Sebbene Sensors Analytics fornisca una soluzione di analisi dei dati per Xiaomi, i dati anonimi raccolti vengono archiviati sui server di Xiaomi e non saranno condivisi con Sensors Analytics o altre società di terze parti."
Fonte: 3dnews.ru