14 Maggio 2020
Xiaomi è stata accusata da un lungo articolo di Forbes di pratiche decisamente poco nobili in merito ai dati personali degli utenti. La società ha risposto negando fermamente le accuse di cattiva tutela della privacy, ma confermando la raccolta dei dati, che a suo dire avviene in modo anonimo e nel rispetto di tutte le leggi dei Paesi in cui Xiaomi opera. Tuttavia, la difesa sembra poco convincente rispetto a quanto dimostrano le indagini dei ricercatori, e le contromisure prese per rafforzare la privacy inadeguate.
LE ACCUSE
Due ricercatori di sicurezza, che hanno agito indipendentemente, hanno osservato che gli smartphone della società raccolgono dati di utilizzo molto dettagliati e li inviano a server esteri, principalmente di proprietà di Alibaba (che è, tra le altre cose, un provider di servizi cloud come Amazon AWS) e altri che si trovano in Russia e a Singapore. La raccolta di dati riguarda sia gli smartphone in sé sia i browser web ufficiali, Mint Browser, Mi Browser e Mi Browser Pro, distribuiti sul Play Store. Il fatto più grave è che ciò avviene anche quando è attiva la modalità in incognito. Di seguito una lista sommaria di tutte le informazioni raccolte citate nell'articolo:
- Tutti i siti visitati, incluse le query ai motori di ricerca - Google e DuckDuckGo; anche in modalità incognito.
- Tutti gli elementi visualizzati del feed di notizie proprietario.
- Cartelle aperte nel file manager.
- Metadati tecnici del dispositivo in uso, come versione di Android e "numeri unici per identificare lo specifico dispositivo".
- Il lettore musicale preinstallato registra tutte le canzoni e i file audio ascoltati.
- In quali schermate sono stati registrati degli swipe, inclusa la tendina delle notifiche/barra di stato e l'app delle Impostazioni
- Non è stato dimostrato in modo definitivo, ma pare sia tracciato anche l'uso delle app: ogni volta che se ne apre una alcune informazioni vengono spedite a un server esterno.
Uno dei due ricercatori ha condotto i suoi test su un Redmi Note 8, ma scaricando il codice sorgente delle ROM di altri dispositivi (tra cui Mi 10, Redmi K20, Mi Mix 3) della società ritiene che il problema sia molto più diffuso. Ci sono altri due problemi importanti:
- I dati sono criptati, ma con un protocollo, il Base64, molto facile da violare. Ai ricercatori sono bastati pochi secondi per decriptare un pacchetto di dati trasmesso dallo smartphone.
- Oltre ad Alibaba è coinvolta un'altra startup cinese che si chiama Sensors Analytics. La startup si occupa di fornire ai suoi clienti analisi dettagliate e approfondite sulle abitudini di utilizzo degli utenti.
COME HA RISPOSTO XIAOMI
Xiaomi ha pubblicato una sorta di live blog che viene aggiornato man mano con tutte le novità rilevanti sul caso. Inizialmente la società ha rigettato l'accusa di scarsa attenzione alla privacy, ma non quella di aver raccolto i dati: la tesi, in estrema sintesi, è "tutti i dati sono anonimizzati, criptati e raccolti con il consenso dell'utente". Xiaomi ha anche detto di aver risposto nella massima trasparenza a tutte le domande dell'autore dell'inchiesta e che ritiene che lo scambio di informazioni tra le due parti non sia stato adeguatamente rappresentato nell'articolo.
In seguito, Xiaomi ha detto che aggiornerà i suoi browser sul Play Store con un toggle per disattivare la raccolta di dati durante la navigazione in incognito; per default, tuttavia, la raccolta rimane attiva. Le nuove versioni dei browser sono state inviate ieri al Play Store per l'approvazione e dovrebbero essere disponibili a brevissimo.
I reporter hanno esternato alcune obiezioni riguardo a quanto dichiarato da Xiaomi:
- Sulla questione della crittografia dei dati, come dicevamo sopra, il protocollo usato è molto debole e facile da superare.
- Xiaomi dice che raccogliere dati è comune nei browser, ma i ricercatori dicono che nessun altro browser popolare è così aggressivo. Molti si limitano a crash e altre statistiche d'uso, nessuno raccoglie tutti gli URL visitati, anche in modalità incognito.
- Xiaomi dice che i dati inviati a Sensor Data rimangono immagazzinati sui suoi server, ma le analisi condotte dai ricercatori hanno osservato che alcuni pacchetti sono stati inviati a domini registrati da, o per lo meno correlati a, Sensor Data.
- Xiaomi ha praticamente parlato solo delle questioni relative ai browser: ha sorvolato sulla raccolta dati del sistema operativo in sé.
Commenti
Purtroppo qui la gente parla senza nemmeno conoscere lontanamente la storia. Ma in un paese come l'Italia, che condivide insieme alla Grecia, il triste primato di paese con il minore livello d'istruzione d'Europa, solo questo ci possiamo aspettare
Quindi dovrebbero fregare dati solo gli altri che lo fanno da 10/20 anni ??... Immaginate se, come sono riusciti a decriptare questi ricercatori lo facessero tanti altri. Ci sarebbe un secondo wikilix che regala segreti scottanti? o ancora, un altro assange serve molto per tante cose!!!
Poi state sereni perchè con un meterpreter si riescono a penetrare sistemi in 12 secondi, e le novità dove sono?
Tutti....tutti si fottono i nostri dati...il problema rimane dei vari stati, per soldi ricattano tali società e i dati devono confluire tutti nei data base fingendo sicurezza nazionale.... altro problema è che ad assange lo hanno estradato e gli hanno tolto la libertá che regalava pure ad altri, mentre per tanti altri, quelli che idati glie li danno, fingono che sia tutto ok....
ti ringrazio, alla fine mi è tornato il mio Redmi Note 7 riparato in garanzia (così non avrebbe dovuto dalla diagnosi) e mi soddisfa ancora molto per ora… nel caso credo avrei scelto il Pixel anche io
Magari lato privacy cambia miui 12
Semplice e ben funzionante
È perfetta
Io la miui la amo
Io
Il pixel 4 è il più sicuro
Puó darsi che li ruba ma tra un po la multano a Xiaomi
Nn vero ora Xiaomi finirebbe sotto accusa per non aver rispettato la general data protection regulation
Il problema e che nn tutti hanno il 10 di Android io il 9 pie
Nn so se al telegiornale hai mai sentito parlare di Cambridge analytica la società inglese che Usa i dati personali affinché faccia cosa vuole lei e i politici
La ho usata dalla 7 alla 10, non mi sono voluto male troppo a lungo, credo la eviterò per molto tempo.
Strano, io apprezzo soprattutto la MIUI! Sul mio S2 la MIUI 11 funziona bene.
Lei ha tutta la mia ammirazione!
se ti riferivi a chi li compra in italia ok
Ma il base 64 non è una codifica? (Nell'articolo è scritto che è una cifratura)
Effettivamente xiaomi sta crescendo troppo. Che senso ha affossare Huawei se poi cresce un altro cinese?
ma se sto parlando di chi compra cinesoni secondo te mi sto riferendo a un cinese?
e dove l'hai scritto? I telefoni cinesi vengono venduti anche (sopratutto in cina) dove non fanno nulla di mare con i propri utenti
Uhm, dove lo hai letto? Sarebbe un ottima notizia... proprio perché non avrebbe alcun senso non aggiornarlo che li ho insultati
Alcuni utenti stanno usando una beta di Miui 11, e un'altra beta ma della 12 è in test.
Arriverà quasi sicuramente, anche perché a parte il modem 5g, il resto è identico alla versione 4g. Non avrebbe senso non aggiornarlo.
xda programmi discutibili? si ok e la marmotta confeziona cioccolata
cmq sveglia, è solo adb/fastboot con sopra una GUI
Eh sì, perché su XDA non è mai successo che venissero postati programmi discutibili...nono
È un forum, dove tutti possono pubblicare, ma vabbè... Ho letto quello che dici, e se tu sei l'esperto, alzo le mani
Ma qualcuno che ne sa può dirmi, non è per fare polemica ma proprio perchè non so, che cosa comporta questo controllo sui cellulari? Lo scopo è solamente quello di rivendere i dati? oltre al fatto di essere controllati che implicitamente da fastidio qual è il fine ultimo ? Sto sparando una cretinata puntano a controllare il mondo con i cellulari?
"ed è sempre illegale se a farlo è un altro stato." quindi il caso che era appunto in esame trattandosi di telefoni cinesi che spiano utenti stranieri. Cerca di capire quello che leggi prima di correggere a sproposito.
Sto testando ora la Arrow su Mi Mix 3 fantastica in tutto però si perde sempre qualcosa nella fotocamera.. Non ho mai provato la MIUI EU , che tu sappia anche quella "ruba i dati"?
Sorvolando sull'inutilità del doppio post, quindi secondo te ha un senso logico il ban verso Huawei per aver violato il ban degli americani in Iran vendendogli hardware e software perché 40 anni fa in Iran fu instaurato un regime scalzandone un altro con una crisi di ostaggi.Perché ovviamente il motivo non è una guerra commerciale di tipo protezionistico come Trump sta chiaramente portando avanti su più fronti...
Bhè, ti consiglio di ricercare e leggerti qualcosa riguardo la "Rivoluzione iraniana" e la deposizione dell'ultimo Scià di Persia :D
se hai veramente 82 anni e sei uno smanettone (che consiglia addirittura al figlio) non posso che farti i complimenti e dirti che le persone come te migliorano il mondo
Io ho parlato di "furto di dati" in senso ampio, non questo caso specifico.
Purtroppo le persone non riescono a vedere al di la del loro naso.
I nostri cellualri non sono popolati solo dei "nostri" dati ma anche dei dati di altre persone.
Le chat non sono solo dati miei ma anche delle persone che con me chattano.
Quindi il furto delle chat (ad esempio) non danneggia solo il possessore del telefono ma anche le persone con cui quelle chat erano attive
Reputo i "software farlocchi" sicuri dal momento che sono open source, quindi puoi controllare tu stesso se c'è qualcosa che non va semplicemente andando su GitHub a vedere il codice.
Io ho un redmi note 5,mai usato il browser di sistema o il file manager di base, tanto fanno pena, solo gli utonti over 50 non sono in grado di scaricarsi alternative ben migliori dal playstore
Avevano i prezzi più bassi...
Neanche io !!!!111
Non mi risulta che mix 3 5G verrà aggiornato alla Miui 12
Ok tutto molto vero, la discussione nei commenti è interessante e offre molti spunti di riflessione.
Ma quindi che si fa? Se uno vuole stare più sicuro?
Pixel 4 sarei tentato di prenderlo anche per la compattezza, però non sarei, non mi convince troppo la fascia superiore che ha. Vedremo il 5
Abbi fede, la Miui 12 porterà Android 10.
Ti prego, Maestro, illuminami.
Comprate cinesate voi...
Perché pensi che i software farlocchi siano più sicuri? L'unico modo è comprare un telefono serio tipo pixel o samsung.
Da quando è arrivato Android 10 non ha più senso usare la MIUI, se vi preoccupate per la vostra privacy flashate una custom rom non appena vi arriva il telefono
Esiste davvero qualcuno che usa il browser di xiaomi?
Chiaramente, non hai idea di cosa dico