Xiaomi domina la scena a causa di alcune pesanti accuse in materia di privacy, tracciamento dati e conservazione degli stessi, contenute in un articolo di Forbes.
Il primo a sollevare perplessità sulla condotta del brand in termini di sicurezza è stato Gabriel Cirlig, ricercatore in ambito cybersecurity che a Forbes ha rivelato di aver scoperto che lo smartphone in suo possesso, un Redmi Note 8, stava tenendo traccia della sua attività, inviando i dati raccolti a un server ospitato da un altro gigante del tech, Alibaba, apparentemente affittato da Xiaomi.
Secondo Cirlig, una quantità preoccupante della sua attività sul device veniva tracciata e vari dati venivano raccolti, con la preoccupazione che la sua identità e la sua vita privata venissero esposta alla compagnia cinese.
Cirlig si sarebbe inoltre reso conto che, utilizzando il browser di default di Xiaomi, questo avrebbe registrato tutti i siti visitati, incluse le ricerche effettuate sia con Google che con DuckDuckGo, il motore di ricerca focalizzato sulla privacy, compreso ogni elemento visto nella funzionalità di news feed del software di Xiaomi. Il tracciamento delle attività, sempre secondo Cirlig, non sarebbe stato ostacolato neanche attivando la modalità di navigazione in incognito.
Il device avrebbe inoltre registrato che le cartelle aperte le schermate visualizzate, comprese status bar e la pagina delle impostazioni. Tutti questi dati poi sarebbero stati inviati a server remoti localizzati a Singapore e in Russia, nonostante i domini ospitati fossero registrati a Pechino.
Forbes non si è fermata alle dichiarazioni di Cirlig e avrebbe chiesto al ricercatore Andrew Tierney di investigare ulteriormente. Tierney avrebbe scoperto che i browser di Xiaomi presenti su Google Play — Mi Browser Pro e Mint Browser – stavano raccogliendo gli stessi dati. Va sottolineato che i due browser insieme hanno oltre 15 milioni di download.
Cirlig pensa che il problema riguarderebbe anche altri modelli oltre quello dal lui testato. Il ricercatore ha scaricato il firmware per altri telefoni del brand – compreso il MI 10, il Redmi K20 e il Mi MIX 3. Dalle analisi effettuate, avrebbe rintracciato lo stesso codice nel browser e questo lo avrebbe indotto a sospettare che i problemi di privacy si ripetano anche per questi device.
Il problema sarebbe inoltre esteso a come Xiaomi trasferisce i dati ai propri server. Il brand sostiene che i dati vengano criptati prima di essere trasferiti, in modo da proteggere la privacy dell’utente. Ma Cirlig ha scoperto di poter vedere rapidamente ciò che veniva preso dal suo device, decodificando un blocco di informazioni nascoste con un form di codifica facilmente accessibile, conosciuto come base64. In pochi secondi, Cirlig sarebbe riuscito a rendere i dati leggibili.
La risposta di Xiaomi
Di seguito traduciamo integralmente la risposta dell’azienda:
1. In tutti i mercati globali in cui Xiaomi è ufficialmente presente, per offrire la miglior user experience possibile, aumentare la compatibilità tra il sistema operativo e le diverse app e per proteggere la privacy dell’utente, tutti i dati di utilizzo raccolti si basano su permessi e consensi offerti esplicitamente dagli utenti. Inoltre, assicuriamo che l’intero processo sia anonimizzato e criptato. Il raccoglimento di dati aggregati sull’utilizzo è impiegato per analisi interne, e non colleghiamo alcuna informazione personalmente identificabile a nessuno di questi dati. Ancora, questa è una soluzione comunemente adottata dalle compagnie internet di tutto il mondo per migliorare la user experience di diversi prodotti, salvaguardando la privacy dell’utente e la sicurezza dei dati.
2. Xiaomi ospita le informazioni su un’infrastruttura pubblica che è ben conosciuta nel settore. Tutte le informazioni dai nostri servizi e utenti all’estero sono conservati sui server in diversi mercati esteri, dove vengono seguite rigidamente le leggi e le regolamentazioni locali alle quali siamo pienamente conformi.
3. Prima della pubblicazione, il reporter ci ha scritto via email con domande rilevanti per l’articolo e Xiaomi ha risposto con piena trasparenza, fornendo risposte dettagliate riguardo la propria tecnologia e le proprie privacy policy. Crediamo che l’articolo pubblicato non rifletta in modo accurato il contenuto e i fatti di quelle comunicazioni. Dopo che l’articolo è stato pubblicato, abbiamo contattato il reporter con ulteriori chiarimenti e siamo in discussione con l’intenzione di rassicurarlo prontamente circa come funziona la nostra sicurezza dei dati. In parallelo, abbiamo creato un live post sul blog ufficiale di Xiaomi per condividere le stesse informazioni col pubblico. L’articolo di Forbes, che specifica come proteggiamo la privacy dell’utente e siamo conformi alle leggi e alle regolamentazioni, è stato recentemente aggiornato e include un link al post.
4. Come compagnia internet, la sicurezza e la privacy dell’utente sono i principi fondamentali di Xiaomi e la base del nostro lavoro quotidiano. I nostri prodotti, le nostre tecnologie, performance e misure riguardo la protezione della privacy sono costantemente migliorate. Nell’ultimo lancio del nostro sistema operativo, MIUI 12, abbiamo adottato le attuali misure di protezione della privacy più stringenti e trasparenti. Per trasparenza ulteriore, siamo sempre aperti a supervisioni basate sui fatti, domande e discussioni dal pubblico, così da migliorare continuamente i nostri prodotti e servizi per i nostri amati utenti e Mi Fan.
Le perplessità dei ricercatori
Come sottolineato da Cirlig e Tierney, non erano solo i siti web o le ricerche a essere inviate ai server. Xiaomi avrebbe infatti raccolto dati circa il telefono, comprese le cifre per identificare il device e la versione Android, metadati che secondo Cirlig potrebbero facilmente essere correlati all’essere umano dietro al display.
Il portavoce di Xiaomi ha inoltre negato che i dati vengano registrati anche in modalità di navigazione privata, comportamento invece confermato sia da Cirlig che Tierney e sostenuto tramite foto e video. Forbes avrebbe fornito a Xiaomi un video girato da Cirlig che mostra come le sue ricerche per la chiave “porno” e la sua visita al sito web PornHub sarebbero state comunque inviate ai server remoti, anche se condotte con la modalità privata. A ciò il portavoce avrebbe continuato a negare che l’informazione venisse registrata: “Questo video mostra che vengono raccolti dati di navigazione anonima, che è una delle più comuni soluzioni adottate dalle compagnie internet per migliorare le funzionalità del browser analizzando informazioni che non sono riconducibili agli utenti”, ha aggiunto.
I due ricercatori sostengono invece che il comportamento del browser di Xiaomi sarebbe molto più invadente rispetto a quelli della concorrenza, come Chrome o Safari, che raccolgono analytics collegati all’utilizzo e ai malfunzionamenti del browser.
Cirlig sospetta inoltre che anche le sue app vengano monitorate da Xiaomi, in quanto ogni volta che ne apre una, un blocco di informazioni sarebbe inviato a un server remoto. Un altro ricercatore, che ha testato I device di Xiaomi ma è vincolato da un NDA a riguardo, ha confermato che ha riscontrato lo stesso comportamento da parte del device del brand. Xiaomi non ha risposto a domande in merito.
La relazione con Sensor Analytics
Xiaomi sarebbe inoltre legata a Sensors Analytics, una startup cinese conosciuta anche come Sensors Data, che analizza i dati comportamentali degli utenti e che ha raccolto dalla sua fondazione nel 2015 60 milioni di dollari.
Sia Cirlig e Tierney hanno scoperto che le loro app Xiaomi stavano inviando dati a domini che mostravano riferimenti a Sensors Analytics, incluso l’uso ripetuto della dicitura SA. Cliccando su uno dei domini, la pagina avrebbe contenuto la seguente frase: “Sensors Analytics è pronta a ricevere i tuoi dati!”. Ci sarebbe inoltre un API chiamata SensorDataAPI, software che permette a terze parti di accedere ai dati dell’app. Xiaomi sarebbe inoltre elencata tra i clienti sul sito di Sensors Data.
Il portavoce di Xiaomi ha confermato la relazione con la startup: “Sensors Analytics forni sce un sistema di analisi dei dati per Xiaomi, i dati raccolti in modo anonimo sono conservati su server di proprietà di Xiaomi e non vengono condivisi con Sensors Analytics o altre aziende di terze parti”.
Come Xiaomi raccoglie i dati degli utenti
Sempre con un post, Xiaomi ha condiviso informazioni circa la modalità di raccoglimento dei dati impiegata dal brand.
1. Raccolta di statistiche di utilizzo aggregate. Dati come informazioni di sistema, preferenze, utilizzo dell’interfaccia, responsività, prestazioni, utilizzo della memoria e report di malfunzionamenti, sono aggregati e non possono essere utilizzati per identificare un individuo.
Un esempio: l’URL viene raccolto per identificare pagine web che si caricano lentamente; questo ci dà un insight circa come migliorare le performance del browser.
2. Sincronizzazione dei dati di navigazione dell’utente – La cronologia di navigazione dell’utente è sincronizzata quando:
- L’utente è loggato nel proprio MI Account; e
- La funzione di sincronizzazione dei dati è impostata su “On” nelle impostazioni
Un esempio di utilizzo: per fornire all’utente un accesso rapido a siti già visitati quando utilizza diversi device dopo essersi loggato nel suo Mi Account.
Nella modalità di navigazione in incognito, i dati di navigazione dell’utente non sono sincronizzati, però vengono raccolti le statistiche di utilizzo aggregate menzionate al punto 1.
Di seguito ecco degli screenshot che mostrano ulteriormente questi punti:
- Questo screenshot mostra il codice usato per creare token unici generati casualmente per aggiungere statistiche di utilizzo aggregate; questi token non corrispondono a nessun individuo.
2. Questo screenshot mostra come lavora il Mi Browser nella navigazione in incognito, dove nessun dato di navigazione dell’utente viene sincronizzato.
3. Questo URL mostra che i dati di utilizzo raccolti sono conservati su domini proprietari di Xiaomi e non inviamo nessun dato a Sensors Analytics. (MIUI è il sistema operativo di Xiaomi).
4. L’immagine mostra che I dati vengono trasferiti con il protocollo HTTPS della crittografia TLS 1.2.
Xiaomi menziona inoltre le 4 certificazioni di aziende di terze parti riguardanti la sicurezza e la privacy che ha conseguito: ISO27001, nel 2013; ISO 27018 nel 2014; ISO/IEC 29151 nel 2017. Ulteriori dettagli possono essere rintracciati allo Xiaomi Trust Center.
