L’accusa è si quelle che fanno tremare i muri: Xiaomi raccoglierebbe i dati di navigazione dagli utenti che utilizzano il browser integrato dei telefoni del produttore cinese. È quanto afferma un esperto di sicurezza che collabora con Forbes, che pubblica la notizia in esclusiva.
Ciò avverrebbe anche quando gli utenti navigano “in incognito” o quando si utilizza il browser Web DuckDuckGo, uno dei più attenti e sensibili all’argomento privacy.
Gabriel Cirlig, il ricercatore esperto di sicurezza sicurezza, utilizzando quotidianamente il modello Redmi Note 8, ha notato che il dispositivo registrava praticamente tutto ciò che lui faceva al telefono e inviava i dati a dei server in Russia e Singapore, sebbene i domini fossero ospitati a Pechino. Ma quali sono le informazioni carpite dallo smartphone? Schermate, siti Web visitati, cartelle aperte, modifiche alle impostazioni, musica riprodotta e molto altro ancora.
Più che un dispositivo dotato di back door, questo Redmi sarebbe una back door con le funzioni di uno smartphone, ha voluto scherzare Gabriel Cirlig.
Cirlig non si è fermato qui, ma è andato oltre scaricndo le Rom dei modelli Xiaomi Mi 10, Redmi K20 e Mi Mix 3 e riscontrando su tutti la stessa vulnerabilità di sicurezza.
Un altro ricercatore, Andrew Tierney, ha riscontrato comportamenti sospetti anche su Mi Browser Pro e Mint Browser.
Xiaomi ha risposto alle accuse affermando che le accuse di Forbes sono fuorvianti e false. Un portavoce della società cinese ha dichiarato che Xiaomi rispetta le leggi e le normative locali sulla privacy dei dati degli utenti e che i dati di navigazione raccolti sono resi anonimi. Il motivo per cui Xiaomi li raccoglierebbe sarebbe quello di migliorare l’esperienza di navigazione degli utenti secondo una pratica standard.
In tutta risposta, Gabriel Cirlig ha inviato a Xiaomi un videoin cui si mostra come il browser invii la sua cronologia ai server anche in modalità di navigazione in incognito.
Per Cirlig e Tierney, non sono solo i dati relativi ai siti Web o alle ricerche Web ad essere inviati ai server. Xiaomi ha raccolto anche dati sul telefono, inclusi numeri univoci per identificare il dispositivo specifico e la versione di Android. Cirlig ritiene che con tali “metadati” non dovrebbe essere molto difficile risalire all’utente.