Gabi Cirlig, pesquisador de segurança cibernética, acusou o smartphone Redmi Note 8, da Xiaomi, de coletar mais dados do que deveria. “É um backdoor com recursos de telefone”, contou Cirlig, após perceber que o celular estava rastreando informações além das visualizadas em sua tela.
Ainda de acordo com o pesquisador, os dados coletados foram enviados para a gigante chinesa Alibaba, que tem sua plataforma utilizada ostensivamente pela Xiaomi para vender seus produtos mundo afora.
‘Backdoor’ é o termo utilizado para se referir a qualquer método pelo qual usuários autorizados e não autorizados possam contornar as medidas normais de segurança e obter acesso de usuário de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software. Os backdoors também podem ser instalados por fabricantes de software ou hardware como um meio deliberado de obter acesso à sua tecnologia após ser comercializada. Essa ‘porta dos fundos’ fez Cirlig pensar que sua identidade e privacidade poderiam estar expostos à sociedade chinesa.
Smartphone Redmi Note 8. Foto: Reprodução
Navegadores da Xiaomi
Ao navegar na web com o browser padrão da Xiaomi, o pesquisador percebeu que o dispositivo salvava todos os sites visitados, até mesmo os mecanismos de busca, como Google e DuckDuckGo, o último conhecido por priorizar a privacidade do usuário. Nada mudou mesmo utilizando guias anônimas, segundo Cirlig.
Todos os dados foram agregados e enviados a servidores remotos em Singapura e Rússia. Embora os domínios da web hospedados tenham sido registrados em Pequim, na China.
A fim de verificar a veracidade das alegações de Cirlig, a Forbes pediu a Andrew Tierney, pesquisador cibersegurança, que investigasse. Tierney descobriu os navegadores oferecidos pela Xiaomi na Play Store – Mi Browser Pro e Mint Browser, que possuem mais de 15 milhões de downloads no total – coletavam os mesmos dados.
E, ao testar firmwares de outros modelos da marca, como Mi 10, o Redmi K20 e o Mi Mix 3, Cirlig encontrou e confirmou que eles tinham o mesmo código do navegador, levando-o a suspeitar que eles tinham os mesmos problemas de privacidade.
Com uma capitalização de mercado de US$ 50 bilhões, a Xiaomi é uma das quatro principais fabricantes de smartphones do mundo, ficando atrás apenas da Apple, Samsung e Huawei. Apesar do baixo custo de seus dispositivos com especificações de última geração, isso pode acabar custando a privacidade dos usuários, ainda que a Xiaomi negue a existência do problema.
Posição da marca
Em resposta às descobertas, a chinesa afirmou: “As alegações de pesquisa são falsas” e “Privacidade e segurança são a principal preocupação”, acrescentando que “segue rigorosamente e é totalmente compatível com as leis e regulamentos locais sobre questões de privacidade de dados do usuário”. Entretanto, um porta-voz da companhia confirmou que estavam coletando dados de navegação, alegando que as informações eram anônimas e não estavam vinculadas a nenhuma identidade. Segundo eles, os usuários concordaram com esse rastreamento.
Quanto à gravação de dados no modo anônimo, a marca negou a ação, por outro lado, não foi o que os testes dos pesquisadores confirmaram: os hábitos eram enviados a servidores remotos, independentemente do modo no qual se encontrava definido no browser do aparelho. Cirlig e Tierney forneceram foto e vídeo como provas.
Apesar da Xiaomi afirmar que os dados são criptografados quando enviados aos servidores, os pesquisadores disseram que a marca também coletava, além de sites e pesquisas na Web, dados sobre o telefone, incluindo números exclusivos para identificar o dispositivo específico e a versão do Android, e tais “metadados” poderiam ser “facilmente correlacionados com um ser humano real atrás da tela”.
Via: Gizchina