Xiaomi ha sido descubierta recolectando información personal de millones de usuarios para después almacenarla en servidores de China y Rusia. De acuerdo con un reporte de Forbes, aplicaciones del fabricante chino como el navegador Mi Browser Pro, Mint Browser y el incluido por defecto en los equipos de la marca, capturan el comportamiento web de las personas, no importa si se encuentran en modo incógnito.
Gabi Cirlig, un experto en seguridad, descubrió que su Redmi Note 8 se encontraba espiando su actividad en internet. Datos que van desde el historial de sitios visitados, consultas en motores de búsqueda, hasta qué carpetas o pantallas abrió en su teléfono fueron transmitidos a servidores de Rusia y Singapur registrados en Pekín. Al parecer estos pertenecen a Alibaba, el Amazon chino, que alquiló este espacio a Xiaomi.
Según Cirlig, esto podría estar ocurriendo en otros equipos como el Xiaomi Mi 10, Redmi K20 y Xiaomi Mi MIX 3, ya que el firmware de estos terminales comparte el mismo código fuente del navegador que su Redmi Note 8. El investigador grabó un video en donde expone cómo una búsqueda de porno en Google y una visita a PornHub en modo incógnito son recolectados y enviados por el móvil.
El problema, según Cirilig, es que esta información es empaquetada y protegida con un cifrado base64 que se puede romper fácilmente, dejando expuestos los datos del usuario. En estos paquetes se envía también datos como el identificador único del teléfono y la versión de Android instalada, algo que según el experto en seguridad, podrían correlacionarse fácilmente con el dueño del teléfono.
Al parecer esta información está siendo capturada por Sensors Analytics, una empresa que se dedica a realizar análisis de comportamiento. Andrew Tierney, otro investigador de ciberseguridad contratado por Forbes, realizó un análisis de este problema y descubrió que la información va a parar a dominios que hacen referencia a la empresa y contienen una API de programación llamada SensorDataAPI.
La captura de datos no se limita a los navegadores de Xiaomi, ya que también se encontró que la app de Música, los sitios visitados en la sección de noticias e incluso el comportamiento al deslizar pantallas, interactuar con la barra de estado o acceder al menú de configuración del sistema estaban siendo enviados a los servidores de Xiaomi.
Si bien esta práctica no es nueva y uno podría argumentar que Google hace lo mismo con sus aplicaciones con el fin de "mejorar la experiencia", Xiaomi va un paso más adelante al acceder a información en un modo incógnito en que los usuarios creen que su comportamiento está seguro.
La empresa ha dado una postura oficial diciendo que las afirmaciones de los investigadores son falsas y aceptó que recopilaba los datos de navegación, aunque dijo que se recolectan de forma anónima y que los usuarios habían dado su consentimiento para tal seguimiento. A pesar de las pruebas en video, Xiaomi dijo que no captura el comportamiento en el modo incógnito.
Desde Xiaomi se han puesto en contacto con Hipertextual para trasladar su opinión al respecto:
"Xiaomi está en desacuerdo con el reciente artículo de Forbes. Creemos que han entendido mal lo que comunicamos con respecto a nuestros principios y política de privacidad de datos. La privacidad y la seguridad en Internet de nuestros usuarios es la máxima prioridad para Xiaomi. Estamos seguros de cumplir estrictamente las leyes y regulaciones. Nos hemos comunicado con Forbes para ofrecer claridad en esa desafortunada malinterpretación."