XIAOMI HA SIDO MALA
Todo comienza con un comentario de broma de Gabi Cirlig, un comentario que acaba siendo algo mucho más y es que el investigador privado de ciberseguridad comenzó diciendo que su nuevo terminal de Xiaomi era una puerta trasera con funcionalidad de teléfono, algo que no distaba de la realidad.
Indagando aún más en sus sospechas pudo comprobar que su nuevo Redmi Note 8 observaba más de lo que podría creer de sus interacciones con el terminal. Toda la información recogida era enviada a un servidor remoto en principio propiedad de Alibaba y que Xiaomi les había alquilado, según el relataba el investigador a la revista Forbes. Estos datos no solo era sobre la navegación a la que hacía uso, si no, también datos intrínsecos del dispositivos que le hicieron saltar las alarmas. Lo comprobó haciendo uso del navegador web que tiene de serie la marca y desde ahí pudo ver que tanto sus resultados de búsqueda (incluso aquellos que hacían uso de la privacidad como DuckDuckGo) eran observados y recogidos como datos, inclusive haciendo uso del modo incógnito.
También quedo registrado cada capeta que abría en el dispositivo, cada cambio de pantalla, barras de estado, cambios en al configuración…todo quedaba registrado en servidores remotos.
Forbes pidió a otro investigador de ciberseguridad (Andrew Tierney) que hiciera acopio de más información sobre este caso y este pudo comprobar no solo que eran ciertos los datos cedidos por Cirlig, si no, que también los navegadores de Xiaomi (Mi Browser Pro y Mint Browser) que se pueden comprar en la PlayStore recogían los mismos datos.
Mientras tanto Cirlig pensando que el problema iba más allá de su modelo, descargó el mismo firmware en otros terminales (Xiaomi MI 10, Redmi K20 y Mi MIX 3) donde comprobó que efectivamente tenían el mismo código en el navegador.
Por supuesto la respuesta de Xiaomi no se hizo de esperar:
«Las afirmaciones de dichas investigaciones son falsas. La privacidad y la seguridad son nuestra principal preocupación. Seguimos estrictamente cumpliendo totalmente las leyes y regulaciones locales sobre los temas de la privacidad de datos del usuario».
Aún así un portavoz si confirmó que se estaba recopilando datos de navegación, aunque alegando que la información recogida era anónima y no quedaba vinculada a ninguna identidad. Rematando que los usuarios habían dado su consentimiento para tal seguimiento.
Cuando Cirlig y Tierney mostraron pruebas mediante vídeos en los que se comprobaba que Xiaomi también recopilaba datos sobre el teléfono, incluyendo números únicos para identificar el dispositivo específico y la versión de Android; el portavoz lo negó rotundamente «estos vídeos solo muestran una recopilación de datos de navegación anónimos, que es una de las soluciones más comunes adoptadas por las compañías de Internet para mejorar la experiencia general del producto (en este caso el navegador) a través de análisis de información de identificación no personal».
Cirlig y Tierney fueron tajantes «el comportamiento de Xiaomi es incluso más invasivo que el de otros navegadores como Google Chrome o Apple Safari. Muchos navegadores, como los antes nombrados, es cierto que toman datos pero generalmente trata sobre el uso que se da, así como fallos generales. Aquí hablamos de que Xiaomi toma no solo el comportamiento que tenemos en nuestro navegador, si no también las URL, inclusive en modo incógnito.»
Terminaremos viendo como acaba este drama pero ya para empezar desde Xiaomi han habilitado una entrada en su blog oficial donde explica y se puede ver como y cuando recopilar aquellas URLS que son visitadas por los usuarios.