Un paio di giorni fa Forbes ha pubblicato una storia importante su come Xiaomi stava raccogliendo molti dati degli utenti attraverso il Mi Browser della MIUI, inclusi gli URL visitati dagli utenti. Mentre la raccolta dei dati è comune nella maggior parte dei browser oggi sul mercato, il rapporto ha evidenziato che i termini di ricerca e gli URL sono stati tracciati anche nella modalità di navigazione in incognito privata del browser.
Xiaomi ha risposto duramente a queste accuse attraverso un lungo articolo sul proprio blog. Tuttavia non tutto ciò che Xiaomi pone a propria difesa è molto chiaro e non va decisamente a beneficio della sua immagine, soprattutto quando ha appena rinnovato il suo “volto legato alla privacy degli utenti” con la MIUI 12.
Qui di seguito vi mostriamo quattro dettagli che rendono molto sospette le decisione prese da Xiaomi relativamente al proprio Mi Browser incluso nella MIUI ROM.
Non si è ancora arrivati a una conclusione definitiva ma, a voler essere franchi, il nostro consiglio per chi vuole che la propria privacy venga rispettata è quello di utilizzare o Firefox oppure il browser sviluppato da DuckDuckGo.
Dettagli incriminanti sul Mi Browser
Dati raccolti anche in Incognito Mode
Gabriel Cîrlig di Forbes ha scoperto che il Mi Browser e il Mint Browser di Xiaomi hanno monitorato tutti i siti Web visitati da un utente Mi, inclusi i termini di ricerca sia su Google che su DuckDuckGo. Il tracciamento era prevalente anche quando il browser era impostato in modalità privata o in incognito. Il telefono ha anche rintracciato i dati di utilizzo e li ha rispediti ai server Xiaomi.
La risposta di Xiaomi è stata che effettivamente raccoglie dei dati utente come “informazioni di sistema, preferenze, utilizzo delle funzionalità dell’interfaccia utente, reattività, prestazioni, utilizzo della memoria e rapporti sugli arresti anomali”, ma solo quando gli utenti hanno fatto il login con il loro Mi Account ed hanno abilitato la sincronizzazione.
Il CEO di Xiaomi India ha anche dichiarato in un video speciale che Xiaomi raccoglie solo dati a cui gli utenti hanno acconsentito. Ha inoltre sottolineato che i dati raccolti in modalità di navigazione in incognito sono “crittografati e resi anonimi“.
Dati inviati in server remoti con domini registrati a Pechino
I dati degli utenti Mi vengono inviati a server remoti in paesi come Singapore e Russia, con domini Web registrati a Pechino.
A questa scoperta la risposta di Xiaomi è stata: “Xiaomi ospita informazioni su un’infrastruttura di cloud pubblico comune e ben nota nel settore. Tutte le informazioni dei nostri servizi e utenti esteri sono archiviate su server in vari mercati esteri. Le leggi e le normative sulla protezione della privacy degli utenti locali sono rigorosamente seguite e alle quali siamo pienamente conformi. “
Dati inviati tramite base64, tecnologia facilmente tracciabile
È stato scoperto che l’invio dei dati dal Mi Browser verso i server remoti avviene con la tecnologia base64, facilmente tracciabile sia dal lato server che dal lato client.
In sua risposta, Xiaomi ha menzionato che i dati inviati sono crittografati utilizzando la crittografia TLS 1.2. Pertanto, i dati trasferiti non possono essere intercettati. Ma la società non ha parlato della codifica base64 dei dati sul lato client.
Xiaomi ha condiviso un’immagine in cui mostra chiaramente che i dati vengono inviati sfruttando il protocollo HTTPS con crittografia TLS 1.2.
I dati raccolti non sono resi anonimi
I ricercatori hanno trovato che i dati utente inviati ai server Xiaomi potrebbero essere potenzialmente riconducibili a un utente specifico grazie all’assegnazione di un UUID (identificatore univoco universale).
Per tutta risposta, Xiaomi mostra uno screenshot in cui è presente il codice per come vengono creati i token unici generati casualmente da aggiungere alle statistiche di utilizzo aggregate, così che non corrispondono a nessun individuo.