A Xiaomi está sendo acusada de gravar as interações dos usuários com seus telefones e enviar os dados para servidores hospedados pelo Alibaba em Cingapura e na Rússia, alugados pela gigante chinesa de telefones.
Thomas Brewster da Forbes e os pesquisadores de segurança cibernética Gabriel Cirlig e Andrew Tierney descobriram que o Redmi Note 8 estava observando os hábitos telefônicos dos usuários e enviando-os para os servidores alugados da Xiaomi.
Verificou-se que, ao navegar na web usando o navegador Xiaomi padrão do aparelho, todos os sites e consultas de mecanismos de pesquisa foram registrados. Ele também monitorou cada item exibido em um recurso de feed de notícias do software da Xiaomi. Preocupantemente, a vigilância parecia estar acontecendo mesmo ao navegar usando o modo de navegação anônima.
O telefone também enviou dados sobre quais pastas foram abertas e interações com a tela inicial, além de números de dispositivos exclusivos e versões do Android.
Tierney descobriu que, além do navegador de ações pré-instalado no MIUI, o sistema operacional Android da Xiaomi, o Mi Browser Pro da empresa e o Mint Browser – ambos disponíveis no Google Play com mais de 15 milhões de downloads – também estavam coletando dados do usuário.
Cirlig descobriu que o mesmo código de rastreamento do navegador estava presente no código de firmware de outros telefones Xiaomi, incluindo os dispositivos Xiaomi MI 10, Xiaomi Redmi K20 e Xiaomi Mi MIX 3.
A Xiaomi disse que os dados enviados foram criptografados, mas foram codificados na base64 facilmente quebrável, o que significa que o pesquisador foi capaz de decodificar as informações em alguns segundos. “Minha principal preocupação com a privacidade é que os dados enviados para seus servidores possam ser facilmente correlacionados com um usuário específico”, alertou Cirlig.
Respondendo ao relatório, a empresa admitiu a coleta de dados do navegador dos usuários, mas disse que era por consentimento e anonimato. Ele também negou a gravação de dados de navegação ao usar o modo de navegação anônima. A Forbes forneceu à Xiaomi um vídeo provando que estava gravando sessões de navegação privadas, mas continuou a negar.
“Este vídeo mostra a coleta de dados de navegação anônimos, que é uma das soluções mais comuns adotadas pelas empresas de Internet para melhorar a experiência geral do produto de navegador por meio da análise de informações não pessoalmente identificáveis”, disse um porta-voz.
Embora a coleta de dados do usuário seja algo que a maioria das empresas de tecnologia faz, não é tão fácil vinculá-lo a usuários específicos, o que parece ser o caso aqui.
Declaração completa da Xiaomi:
A Xiaomi ficou desapontada ao ler o artigo recente da Forbes. Achamos que eles não entenderam o que comunicamos sobre nossos princípios e políticas de privacidade de dados. A privacidade e a segurança da Internet de nossos usuários são as principais prioridades da Xiaomi; estamos confiantes de que seguimos rigorosamente e somos totalmente compatíveis com as leis e regulamentos locais. Entramos em contato com a Forbes para esclarecer essa infeliz interpretação incorreta.
Saiba mais sobre isso em nosso setor de segurança digital.