Xiaomi accusata di scarso riguardo per la privacy degli utenti

04 Maggio 2020 306

Xiaomi è stata accusata da un lungo articolo di Forbes di pratiche decisamente poco nobili in merito ai dati personali degli utenti. La società ha risposto negando fermamente le accuse di cattiva tutela della privacy, ma confermando la raccolta dei dati, che a suo dire avviene in modo anonimo e nel rispetto di tutte le leggi dei Paesi in cui Xiaomi opera. Tuttavia, la difesa sembra poco convincente rispetto a quanto dimostrano le indagini dei ricercatori, e le contromisure prese per rafforzare la privacy inadeguate.

LE ACCUSE

Due ricercatori di sicurezza, che hanno agito indipendentemente, hanno osservato che gli smartphone della società raccolgono dati di utilizzo molto dettagliati e li inviano a server esteri, principalmente di proprietà di Alibaba (che è, tra le altre cose, un provider di servizi cloud come Amazon AWS) e altri che si trovano in Russia e a Singapore. La raccolta di dati riguarda sia gli smartphone in sé sia i browser web ufficiali, Mint Browser, Mi Browser e Mi Browser Pro, distribuiti sul Play Store. Il fatto più grave è che ciò avviene anche quando è attiva la modalità in incognito. Di seguito una lista sommaria di tutte le informazioni raccolte citate nell'articolo:

  • Tutti i siti visitati, incluse le query ai motori di ricerca - Google e DuckDuckGo; anche in modalità incognito.

  • Tutti gli elementi visualizzati del feed di notizie proprietario.
  • Cartelle aperte nel file manager.
  • Metadati tecnici del dispositivo in uso, come versione di Android e "numeri unici per identificare lo specifico dispositivo".
  • Il lettore musicale preinstallato registra tutte le canzoni e i file audio ascoltati.
  • In quali schermate sono stati registrati degli swipe, inclusa la tendina delle notifiche/barra di stato e l'app delle Impostazioni
  • Non è stato dimostrato in modo definitivo, ma pare sia tracciato anche l'uso delle app: ogni volta che se ne apre una alcune informazioni vengono spedite a un server esterno.

Uno dei due ricercatori ha condotto i suoi test su un Redmi Note 8, ma scaricando il codice sorgente delle ROM di altri dispositivi (tra cui Mi 10, Redmi K20, Mi Mix 3) della società ritiene che il problema sia molto più diffuso. Ci sono altri due problemi importanti:

  • I dati sono criptati, ma con un protocollo, il Base64, molto facile da violare. Ai ricercatori sono bastati pochi secondi per decriptare un pacchetto di dati trasmesso dallo smartphone.
  • Oltre ad Alibaba è coinvolta un'altra startup cinese che si chiama Sensors Analytics. La startup si occupa di fornire ai suoi clienti analisi dettagliate e approfondite sulle abitudini di utilizzo degli utenti.
COME HA RISPOSTO XIAOMI

Xiaomi ha pubblicato una sorta di live blog che viene aggiornato man mano con tutte le novità rilevanti sul caso. Inizialmente la società ha rigettato l'accusa di scarsa attenzione alla privacy, ma non quella di aver raccolto i dati: la tesi, in estrema sintesi, è "tutti i dati sono anonimizzati, criptati e raccolti con il consenso dell'utente". Xiaomi ha anche detto di aver risposto nella massima trasparenza a tutte le domande dell'autore dell'inchiesta e che ritiene che lo scambio di informazioni tra le due parti non sia stato adeguatamente rappresentato nell'articolo.

In seguito, Xiaomi ha detto che aggiornerà i suoi browser sul Play Store con un toggle per disattivare la raccolta di dati durante la navigazione in incognito; per default, tuttavia, la raccolta rimane attiva. Le nuove versioni dei browser sono state inviate ieri al Play Store per l'approvazione e dovrebbero essere disponibili a brevissimo.

I reporter hanno esternato alcune obiezioni riguardo a quanto dichiarato da Xiaomi:

  • Sulla questione della crittografia dei dati, come dicevamo sopra, il protocollo usato è molto debole e facile da superare.
  • Xiaomi dice che raccogliere dati è comune nei browser, ma i ricercatori dicono che nessun altro browser popolare è così aggressivo. Molti si limitano a crash e altre statistiche d'uso, nessuno raccoglie tutti gli URL visitati, anche in modalità incognito.
  • Xiaomi dice che i dati inviati a Sensor Data rimangono immagazzinati sui suoi server, ma le analisi condotte dai ricercatori hanno osservato che alcuni pacchetti sono stati inviati a domini registrati da, o per lo meno correlati a, Sensor Data.
  • Xiaomi ha praticamente parlato solo delle questioni relative ai browser: ha sorvolato sulla raccolta dati del sistema operativo in sé.
Il top di Huawei al miglior prezzo? Huawei P30 Pro, in offerta oggi da Mobzilla a 457 euro oppure da Unieuro a 599 euro.

306

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
GilgameshJR

ti ringrazio, alla fine mi è tornato il mio Redmi Note 7 riparato in garanzia (così non avrebbe dovuto dalla diagnosi) e mi soddisfa ancora molto per ora… nel caso credo avrei scelto il Pixel anche io

Giovanni lamaiba

Magari lato privacy cambia miui 12

Giovanni lamaiba

Semplice e ben funzionante

Giovanni lamaiba

È perfetta

Giovanni lamaiba

Io la miui la amo

Giovanni lamaiba

Io

Giovanni lamaiba

Il pixel 4 è il più sicuro

Giovanni lamaiba

Puó darsi che li ruba ma tra un po la multano a Xiaomi

Giovanni lamaiba

Nn vero ora Xiaomi finirebbe sotto accusa per non aver rispettato la general data protection regulation

Giovanni lamaiba

Il problema e che nn tutti hanno il 10 di Android io il 9 pie

Giovanni lamaiba

Nn so se al telegiornale hai mai sentito parlare di Cambridge analytica la società inglese che Usa i dati personali affinché faccia cosa vuole lei e i politici

E K

La ho usata dalla 7 alla 10, non mi sono voluto male troppo a lungo, credo la eviterò per molto tempo.

Paolo Rossi

Strano, io apprezzo soprattutto la MIUI! Sul mio S2 la MIUI 11 funziona bene.

Paolo Rossi

Lei ha tutta la mia ammirazione!

Rendiamociconto

se ti riferivi a chi li compra in italia ok

Luca Asga

Ma il base 64 non è una codifica? (Nell'articolo è scritto che è una cifratura)

Alessandro

Effettivamente xiaomi sta crescendo troppo. Che senso ha affossare Huawei se poi cresce un altro cinese?

sopaug

ma se sto parlando di chi compra cinesoni secondo te mi sto riferendo a un cinese?

Rendiamociconto

e dove l'hai scritto? I telefoni cinesi vengono venduti anche (sopratutto in cina) dove non fanno nulla di mare con i propri utenti

LastSnake

Uhm, dove lo hai letto? Sarebbe un ottima notizia... proprio perché non avrebbe alcun senso non aggiornarlo che li ho insultati

Emi

Alcuni utenti stanno usando una beta di Miui 11, e un'altra beta ma della 12 è in test.
Arriverà quasi sicuramente, anche perché a parte il modem 5g, il resto è identico alla versione 4g. Non avrebbe senso non aggiornarlo.

qandrav

xda programmi discutibili? si ok e la marmotta confeziona cioccolata

cmq sveglia, è solo adb/fastboot con sopra una GUI

marco

Eh sì, perché su XDA non è mai successo che venissero postati programmi discutibili...nono
È un forum, dove tutti possono pubblicare, ma vabbè... Ho letto quello che dici, e se tu sei l'esperto, alzo le mani

Arturo

Ma qualcuno che ne sa può dirmi, non è per fare polemica ma proprio perchè non so, che cosa comporta questo controllo sui cellulari? Lo scopo è solamente quello di rivendere i dati? oltre al fatto di essere controllati che implicitamente da fastidio qual è il fine ultimo ? Sto sparando una cretinata puntano a controllare il mondo con i cellulari?

sopaug

"ed è sempre illegale se a farlo è un altro stato." quindi il caso che era appunto in esame trattandosi di telefoni cinesi che spiano utenti stranieri. Cerca di capire quello che leggi prima di correggere a sproposito.

biggiamp
Unit-01

Sto testando ora la Arrow su Mi Mix 3 fantastica in tutto però si perde sempre qualcosa nella fotocamera.. Non ho mai provato la MIUI EU , che tu sappia anche quella "ruba i dati"?

DeeoK

Sorvolando sull'inutilità del doppio post, quindi secondo te ha un senso logico il ban verso Huawei per aver violato il ban degli americani in Iran vendendogli hardware e software perché 40 anni fa in Iran fu instaurato un regime scalzandone un altro con una crisi di ostaggi.Perché ovviamente il motivo non è una guerra commerciale di tipo protezionistico come Trump sta chiaramente portando avanti su più fronti...

Desmond Hume
marco

Bhè, ti consiglio di ricercare e leggerti qualcosa riguardo la "Rivoluzione iraniana" e la deposizione dell'ultimo Scià di Persia :D

qandrav

se hai veramente 82 anni e sei uno smanettone (che consiglia addirittura al figlio) non posso che farti i complimenti e dirti che le persone come te migliorano il mondo

A De
Gios

Io ho parlato di "furto di dati" in senso ampio, non questo caso specifico.

Purtroppo le persone non riescono a vedere al di la del loro naso.
I nostri cellualri non sono popolati solo dei "nostri" dati ma anche dei dati di altre persone.
Le chat non sono solo dati miei ma anche delle persone che con me chattano.
Quindi il furto delle chat (ad esempio) non danneggia solo il possessore del telefono ma anche le persone con cui quelle chat erano attive

Sebb5

Reputo i "software farlocchi" sicuri dal momento che sono open source, quindi puoi controllare tu stesso se c'è qualcosa che non va semplicemente andando su GitHub a vedere il codice.

ManuMao

Io ho un redmi note 5,mai usato il browser di sistema o il file manager di base, tanto fanno pena, solo gli utonti over 50 non sono in grado di scaricarsi alternative ben migliori dal playstore

Claudio

Avevano i prezzi più bassi...

Claudio

Neanche io !!!!111

LastSnake

Non mi risulta che mix 3 5G verrà aggiornato alla Miui 12

Emi

Ok tutto molto vero, la discussione nei commenti è interessante e offre molti spunti di riflessione.
Ma quindi che si fa? Se uno vuole stare più sicuro?

GilgameshJR

Pixel 4 sarei tentato di prenderlo anche per la compattezza, però non sarei, non mi convince troppo la fascia superiore che ha. Vedremo il 5

Emi

Abbi fede, la Miui 12 porterà Android 10.

DeeoK

Ti prego, Maestro, illuminami.

Dipinto

Comprate cinesate voi...

marian_12

Perché pensi che i software farlocchi siano più sicuri? L'unico modo è comprare un telefono serio tipo pixel o samsung.

Sebb5

Da quando è arrivato Android 10 non ha più senso usare la MIUI, se vi preoccupate per la vostra privacy flashate una custom rom non appena vi arriva il telefono

ELIA

Esiste davvero qualcuno che usa il browser di xiaomi?

marco

Chiaramente, non hai idea di cosa dico

21cole
Tiamat

Nuovo capitolo della guerra USA-Cina. La privacy non c'entra un'acca.

Matt7even

Sai cosa? Si può annullare la registrazione, come ho fatto io e pure disabilitato "Ehi Gulag".

Il problema è che su Ciaomi non puoi decidere tu.

Comunque serve a registrare le query. Non a fare chissà quali cose strane

Recensione LG Velvet: il nuovo design ci piace ma serve un rinnovamento software

Recensione Huawei P30 Pro New Edition: può ancora dire la sua

Recensione Poco F2 Pro: vale davvero la pena? Confronto con Realme X50 Pro

Live Batteria Wiko View 4 (5.000 mAh): terminato alle 23.00 con il 47%