A Reuters publicou um artigo alertando que a gigante chinesa Xiaomi está registrando dados pessoais de milhões de pessoas sobre suas atividades online e uso de dispositivos. “É uma porta dos fundos para a funcionalidade de um telefone”, disse Gabi Cirlig, meio brincando, sobre seu novo smartphone Xiaomi.
Este experiente pesquisador de segurança cibernética conversou com a Forbes depois de descobrir que seu smartphone Redmi Note 8 estava espionando tudo o que ele fazia. Esses dados foram então enviados para servidores remotos hospedados pela gigante tecnológica chinesa Alibaba, que provavelmente foram alugados pela Xiaomi.
Kirlig descobriu que uma quantidade alarmante de informações sobre o seu comportamento estava a ser rastreada enquanto vários tipos de dados eram recolhidos simultaneamente do dispositivo - o especialista ficou horrorizado porque os detalhes da sua identidade e vida privada eram totalmente conhecidos pela empresa chinesa.
Quando ele navegou em sites no navegador padrão da Xiaomi no dispositivo, este último registrou todos os sites visitados, incluindo consultas de mecanismos de busca, seja o Google ou o DuckDuckGo, com foco na privacidade, e todos os itens visualizados no feed de notícias do shell da Xiaomi foram também gravado. Além disso, toda essa vigilância funcionou mesmo quando o modo “anônimo” foi utilizado.
O aparelho registrava quais pastas foram abertas, quais telas foram trocadas, até mesmo quando se tratava da barra de status e da página de configurações do aparelho. Todos os dados foram enviados em lotes para servidores remotos em Singapura e na Rússia, embora os domínios web dos servidores tenham sido registados em Pequim.
A pedido da Forbes, outro pesquisador de segurança cibernética, Andrew Tierney, conduziu sua própria investigação. Ele também descobriu que os navegadores fornecidos pela Xiaomi no Google Play – Mi Browser Pro e Mint Browser – coletam os mesmos dados. De acordo com as estatísticas do Google Play, juntos eles foram instalados mais de 15 milhões de vezes, o que significa que milhões de dispositivos poderão ser afetados.
Os problemas, segundo Kirlig, aplicam-se a um número muito maior de modelos. Ele baixou firmware para outros telefones Xiaomi, incluindo Xiaomi Mi 10, Xiaomi Redmi K20 e Xiaomi Mi MIX 3, antes de confirmar que eles usam um navegador idêntico e provavelmente sofrem dos mesmos problemas de privacidade.
Também parece haver dificuldades com a forma como a Xiaomi transfere dados para os seus servidores. Embora a empresa chinesa afirme que os dados são criptografados, Gabi Kirlig descobriu que pode ver rapidamente o que foi baixado de seu dispositivo porque a criptografia usa o algoritmo base64 mais simples. Demorou apenas alguns segundos para converter os pacotes de dados em informações legíveis. Ele também alertou: “Minha principal preocupação em relação à privacidade é que os dados enviados para servidores remotos são muito facilmente associados a um usuário específico”.
Em resposta às descobertas dos referidos especialistas, um porta-voz da Xiaomi disse que as afirmações da pesquisa não são verdadeiras e que a privacidade e a segurança são de suma importância, e que a empresa cumpre estritamente e está em total conformidade com as leis e regulamentos locais relativos a questões de privacidade do usuário. . Mas o porta-voz confirmou que os dados de navegação estão sendo coletados, dizendo que as informações são anônimas e não vinculadas a nenhum indivíduo, e que os usuários consentem com tal rastreamento.
Mas, como apontam Gabi Kirlig e Andrew Tierney, não foram apenas informações sobre sites visitados ou pesquisas na Internet que foram enviadas ao servidor: a Xiaomi também coletou dados sobre o telefone, incluindo números exclusivos para identificar um dispositivo e versão específicos do Android. Esses metadados podem ser facilmente correlacionados com a pessoa real atrás da tela, se desejado.
Um porta-voz da Xiaomi também rejeitou as alegações de que os dados de navegação estão sendo gravados no modo de navegação anônima. No entanto, os investigadores de segurança descobriram nos seus testes independentes que o seu comportamento online envia mensagens para servidores remotos, independentemente do modo em que o navegador está a ser executado, fornecendo fotos e vídeos como prova.
Quando os jornalistas da Forbes forneceram à Xiaomi um vídeo mostrando como as pesquisas do Google e as visitas a sites eram enviadas para servidores remotos, mesmo no modo de navegação anônima, um porta-voz da empresa continuou a negar que a informação estava sendo gravada: “Este vídeo demonstra a coleta de dados de navegação anônimos, que é uma das decisões mais comuns tomadas pelas empresas de Internet para melhorar a experiência geral de navegação através da análise de informações não pessoalmente identificáveis."
No entanto, os especialistas em segurança acreditam que o comportamento do navegador Xiaomi é muito mais agressivo do que outros navegadores populares como o Google Chrome ou o Apple Safari: estes últimos não registam o comportamento do navegador, incluindo URLs, sem o consentimento explícito do utilizador e no modo de navegação privada.
Além disso, em sua pesquisa, Kirlig descobriu que o reprodutor de música pré-instalado nos smartphones Xiaomi coleta informações sobre hábitos de audição: quais músicas são tocadas e quando.
Gabi Kirlig também suspeita que a Xiaomi esteja monitorando o uso de software porque toda vez que ele abre aplicativos, uma pequena quantidade de informações é enviada para um servidor remoto. Outro pesquisador anônimo citado pela Forbes disse que também registrou como os telefones da empresa chinesa coletaram dados semelhantes. A Xiaomi não comentou este assunto.
Os dados são enviados para a empresa de análise chinesa Sensors Analytics (também conhecida como Sensors Data), que foi fundada em 2015 e está envolvida na análise aprofundada do comportamento do usuário e no fornecimento de serviços de consultoria profissional. Suas ferramentas ajudam os clientes a explorar dados ocultos, examinando os principais padrões de comportamento. Um porta-voz da Xiaomi confirmou a conexão com a startup: “Embora a Sensors Analytics forneça uma solução de análise de dados para a Xiaomi, os dados anônimos coletados são armazenados nos próprios servidores da Xiaomi e não serão compartilhados com a Sensors Analytics ou quaisquer outras empresas terceirizadas”.
Fonte: 3dnews.ru