Nuova grave violazione dei dati personali da Xiaomi: Gli smartphone spiano le attività delle persone?

Secondo una ricerca condotta da esperti di sicurezza IT, il browser standard di Xiaomi invia dati sensibili alla Cina.

“È un aspirapolvere di dati che puoi utilizzare per effettuare chiamate”, chiede l’esperto di sicurezza IT Gabriel Cîrlig sul suo smartphone Xiaomi quando parla con Forbes.

In precedenza, aveva dimostrato che il browser standard del produttore cinese registra tutti i siti Web visitati, comprese tutte le voci nel motore di ricerca, e lo invia a un server ospitato da Alibaba in Cina.

Anche le informazioni sulle attività offline come l’apertura di cartelle e app sullo smartphone, la musica riprodotta, incluso il timestamp e persino lo scorrimento dello schermo, sarebbero inoltrate al produttore.

Allo stesso tempo, secondo la ricerca di Cîrlig, vengono trasmesse informazioni sullo smartphone, la versione di Android e un ID utente costante. Con questi metadati, ogni utente può essere chiaramente identificato, l’esperto teme.

Il trasferimento dei dati può anche avvenire in modalità di navigazione in incognito del browser.

dir = “ltr”> Un po ‘più di contesto su questo. Questa è la canzone che ho appena SCARICATO e fatto clic sulla loro app Mi Player. pic.twitter.com/DHNzPkz53o

A bit more context on this. That's the song I just DOWNLOADED and clicked into their Mi Player app. pic.twitter.com/DHNzPkz53o
— Gabriel Cîrlig (@hookgab) May 4, 2020

La ricerca di Cîrlig si basa sul modello Redmi Note 8, ma teme che almeno i modelli Mi 10, Redmi K20 e Mi MIX 30 siano interessati.

Usano tutti lo stesso codice del browser. Milioni di utenti in tutto il mondo potrebbero essere interessati dalla perdita di dati.

Lo specialista IT Andrew Tierney ha anche verificato le informazioni divulgate per Forbes Cîrlig.

Ha scoperto che anche altre due app per browser Xiaomi del Play Store di Google – Mi Browser Pro e Mint Browser – hanno un problema simile. Insieme, si dice che siano stati scaricati oltre 15 milioni di volte.

Sia Cirlig che Tierney hanno affermato che il comportamento di Xiaomi è stato più invasivo rispetto ad altri browser come Google Chrome o Apple Safari.

“È molto peggio di tutti i principali browser che ho visto”, ha detto Tierney. “Molti di loro prendono analisi, ma si tratta di utilizzo e crash. Assumere il comportamento del browser, inclusi gli URL, senza il consenso esplicito e in modalità di navigazione privata, è quasi brutto. “

Xiaomi si difende in una dichiarazione contro Forbes e inizialmente nega le accuse: la privacy è molto importante per l’azienda e aderisce a tutte le disposizioni legali.

Con un valore di $ 50 miliardi, Xiaomi è uno dei primi quattro produttori di smartphone al mondo per quota di mercato, dietro ad Apple, Samsung e Huawei.

Tuttavia, un portavoce della compagnia ha confermato allo stesso tempo che i dati erano stati raccolti, ma resi anonimi e dopo che gli utenti avevano dato il loro consenso. In modalità di navigazione in incognito, nessun dato è mai stato trasmesso.

Xiaomi ha affermato che il trasferimento dei dati è avvenuto solo con il consenso esplicito dell’utente e che l’URL del browser è stato registrato solo al fine di identificare i siti Web a caricamento lento.

Inoltre, i dati vengono resi anonimi e l’identificazione dell’utente viene generata in modo casuale.

La società ha ignorato la prova di Cîrlig che era costante, tuttavia, e quindi ha permesso di identificare gli utenti.