Xiaomi accusata di raccogliere dati sensibili dai suoi browser, anche in modalità in incognito (video) (aggiornato: browser aggiornati)

Un'altra tegola riguardante la privacy e la sicurezza dei dati personali è appena emersa nel mondo Android e stavolta riguarda Xiaomi, uno dei maggiori produttori di smartphone cinese. L'accusa è abbastanza pesante e arriva da diversi ricercatori in cybersecurity interpellati da Forbes.

Secondo il report appena emerso online, Xiaomi raccoglierebbe dati personali dei suoi utenti tramite i suoi browser web: parliamo del browser stock della MIUI, del Mi Browser Pro e del Mint Browser, disponibili anche sul Play Store. Secondo la ricerca, Xiaomi raccoglierebbe dati sensibili associati alla navigazione web come cronologia, query di ricerca, URL visualizzate e contenuti proposti tramite i feed di news. La raccolta di questa tipologia di dati si estenderebbe anche agli utenti che navigano in modalità in incognito.

I ricercatori hanno testato e riscontrato il problema di privacy su diversi smartphone Xiaomi: Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Redmi K20 e Xiaomi Mi MIX 3, e non hanno riscontrato differenze tra i dispositivi aggiornati alla MIUI e quelli basati su piattaforma Android One.

Non finisce qui, perché i ricercatori avrebbero anche individuato un potenziale risvolto pratico della raccolta di dati personali da parte di Xiaomi: l'azienda cinese è annoverata tra i clienti di Sensor Data, un'altra azienda cinese che si occupa anche della profilazione degli utenti. Nei browser di Xiaomi esaminati sono state riscontrate infatti delle API denominate SensorDataAPI ed è stato rilevato che questi browser effettuano il ping verso i domini di Sensors Analytics, collegata alla suddetta Sensor Data.

Cosa risponde Xiaomi? Sostanzialmente ammette di raccogliere dati ma nega di aver violato la privacy degli utenti: il produttore cinese afferma di raccogliere dati in forma anonima e di crittografarli. I ricercatori che hanno stilato il report concordano sul fatto che i dati siano crittografati ma precisano che il metodo crittografico è molto debole e facilmente aggirabile: il tweet riportato in fondo all'articolo ne è un chiaro esempio. Una volta decodificato il contenuto, è molto semplice riportarlo all'utente che l'ha generato.

Riguardo al legame con Sensor Data, Xiaomi ammette di esserne cliente ma nega di avergli ceduto i dati di navigazione dei suoi utenti. Oltre alla disputa tra Xiaomi e i ricercatori di sicurezza, di concreto rimane che il produttore cinese usa un metodo crittografico relativamente debole e che i suoi browser comunicano in modo costante con i server di Sensor Data, tant'è che nei browser è integrata un'API apposita.

Staremo a vedere se Xiaomi chiarirà ulteriormente questi o se prenderà provvedimenti correttivi in merito, soprattutto per gli utenti europei: in Europa vige la GDPR, una serie di norme che regolano accuratamente la gestione e la protezione dei dati personali e indicano quali sono le procedure minime per proteggerli, tra queste procedure rientrano anche i metodi di crittografia da usare.