Xiaomi accusata di raccogliere dati sensibili dai suoi browser, anche in modalità in incognito (video) (aggiornato: browser aggiornati)

Vincenzo Ronca -

Un’altra tegola riguardante la privacy e la sicurezza dei dati personali è appena emersa nel mondo Android e stavolta riguarda Xiaomi, uno dei maggiori produttori di smartphone cinese. L’accusa è abbastanza pesante e arriva da diversi ricercatori in cybersecurity interpellati da Forbes.

Secondo il report appena emerso online, Xiaomi raccoglierebbe dati personali dei suoi utenti tramite i suoi browser web: parliamo del browser stock della MIUI, del Mi Browser Pro e del Mint Browser, disponibili anche sul Play Store. Secondo la ricerca, Xiaomi raccoglierebbe dati sensibili associati alla navigazione web come cronologia, query di ricerca, URL visualizzate e contenuti proposti tramite i feed di news. La raccolta di questa tipologia di dati si estenderebbe anche agli utenti che navigano in modalità in incognito.

LEGGI ANCHE: a cosa serve un NAS?

I ricercatori hanno testato e riscontrato il problema di privacy su diversi smartphone Xiaomi: Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Redmi K20 e Xiaomi Mi MIX 3, e non hanno riscontrato differenze tra i dispositivi aggiornati alla MIUI e quelli basati su piattaforma Android One.

Non finisce qui, perché i ricercatori avrebbero anche individuato un potenziale risvolto pratico della raccolta di dati personali da parte di Xiaomi: l’azienda cinese è annoverata tra i clienti di Sensor Data, un’altra azienda cinese che si occupa anche della profilazione degli utenti. Nei browser di Xiaomi esaminati sono state riscontrate infatti delle API denominate SensorDataAPI ed è stato rilevato che questi browser effettuano il ping verso i domini di Sensors Analytics, collegata alla suddetta Sensor Data.

Cosa risponde Xiaomi? Sostanzialmente ammette di raccogliere dati ma nega di aver violato la privacy degli utenti: il produttore cinese afferma di raccogliere dati in forma anonima e di crittografarli. I ricercatori che hanno stilato il report concordano sul fatto che i dati siano crittografati ma precisano che il metodo crittografico è molto debole e facilmente aggirabile: il tweet riportato in fondo all’articolo ne è un chiaro esempio. Una volta decodificato il contenuto, è molto semplice riportarlo all’utente che l’ha generato.

Riguardo al legame con Sensor Data, Xiaomi ammette di esserne cliente ma nega di avergli ceduto i dati di navigazione dei suoi utenti. Oltre alla disputa tra Xiaomi e i ricercatori di sicurezza, di concreto rimane che il produttore cinese usa un metodo crittografico relativamente debole e che i suoi browser comunicano in modo costante con i server di Sensor Data, tant’è che nei browser è integrata un’API apposita.

Staremo a vedere se Xiaomi chiarirà ulteriormente questi o se prenderà provvedimenti correttivi in merito, soprattutto per gli utenti europei: in Europa vige la GDPR, una serie di norme che regolano accuratamente la gestione e la protezione dei dati personali e indicano quali sono le procedure minime per proteggerli, tra queste procedure rientrano anche i metodi di crittografia da usare.

Aggiornamento01/05/2020 ore 19:05

La risposta di Xiaomi alla vicenda non si è fatta attendere ed è molto dettagliata. Tramite un post sul suo blog ufficiale l’azienda cinese apostrofa la vicenda come un fraintendimento delle sue politiche sulla privacy da parte di Forbes. Dunque ha cercato di riassumere come raccoglie i dati degli utenti e per quali scopi li utilizza:

  • I dati raccolti dai suoi browser non sono mai individuali ma vengono accorpati insieme a quelli di altri utenti. Vengono usati essenzialmente per migliorare l’esperienza di navigazione.
  • La sincronizzazione di questo tipo di dati avviene solo se l’utente abilita la corrispondente opzione attraverso le impostazioni del browser. Navigando in incognito, i dati di navigazione non vengono raccolti, sebbene quelli che possono essere aggregati agli altri utenti vengono comunque raccolti.

Per dimostrare i punti sopra descritti, Xiaomi ha persino pubblicato le parti di codice che regolano le funzionalità di raccolta dati dagli utenti. Potete consultarli al post originale.

Non finisce qui, il produttore cinese ha menzionato le certificazioni di sicurezza che ha conseguito da enti internazionali, come TrustArc and British Standard Institution (BSI), proprio in seguito all’implementazione delle sue politiche sulla privacy.

Aggiornamento04/05/2020 ore 14:55

Dopo la pronta risposta di Xiaomi sono arrivati anche i primi fatti: sembra che il produttore abbia deciso di implementare la possibilità di disattivare la raccolta dei dati, anche di quelli di tipo aggregato, dagli utenti che usano i suoi browser in modalità in incognito. I browser dei quali parliamo sono Mi Browser, Mi Browser Pro e Mint Browser.

Via: XDAFonte: Xiaomi