Una nueva investigación afirma que Xiaomi, la popular empresa China de móviles económicos, está rastreando información confidencial y enviándola a sus servidores si usas el navegador Mi, que se incluye con todos los teléfonos de la familia Redmi y Mi.
En un informe publicado en Forbes, el investigador de seguridad informática Gabriel Cirlig afirma que la aplicación Mi Browser de Xiaomi envía sus búsquedas en Internet, incluidas las sesiones de modo incógnito, a los servidores de Xiaomi en Singapur y Rusia.
Aún más preocupante es que Cirlig afirma que los datos que se están acopiando pueden asociarse fácilmente con un usuario en particular, lo que permite a la compañía seleccionar a los usuarios que desee rastrear.
Cirlig ha declarado en Forbes: “Mi principal preocupación por la privacidad es que los datos enviados a sus servidores pueden correlacionarse muy fácilmente con un usuario específico“.
Si bien es cierto todos estos datos recolectados son enviados a servidores remotos en Singapur y Rusia, los dominios asociados a estos servidores están registrados a nombre de una empresa domiciliada en Beijing.
Además, el investigador notó que los dispositivos de Xiaomi registran las carpetas que abre un usuario, las pantallas que ve un usuario y los ajustes de configuración.
La aplicación del reproductor de música de Xiaomi también estaba grabando qué y cuándo el usuario reproduce canciones.
A pedido de Forbes, el investigador de ciberseguridad Andrew Tierney también investigó los hallazgos y según el resultado de sus investigaciones se descubrió que Mi Browser Pro y Mint Browser (ambos disponibles en el Google Play) recopilaron los mismos datos.
Y según la Play Store, el navegador tiene más de 15 millones de descargas.
En respuesta a estas afirmaciones, Xiaomi, publicó una larga publicación en su blog y declaró: “las afirmaciones de investigación son falsas” y añade que “siguen estrictamente y cumplen totalmente con las leyes y regulaciones locales en materia de privacidad de datos del usuario“.
Xiaomi dijo que los datos recopilados son anónimos y el portavoz de la compañía negó que Mi Browser registre datos de navegación mientras los usuarios están en modo incógnito.
Se demostró que la declaración oficial de Xiaomi no era cierta, luego de que el investigador de seguridad Cirlig creó un video que demostraba que los resultados de búsqueda de Mi Browser se envían a servidores remotos incluso cuando el navegador está en modo “incógnito”.
Forbes le proporcionó a Xiaomi ese video, pero la compañía defendió sus protocolos de privacidad.
Xiaomi no cree que sus usuarios deberían sentirse preocupados ya que el video “muestra la recopilación de datos de navegación anónimos” y que “es una de las soluciones más comunes adoptadas por las empresas de Internet“.
En una publicación de Twitter, Tierney mostró cómo él y otros podrían probar por sí mismos que el navegador Mint carga datos de uso en los servidores de Xiaomi:
Well, unsurprisingly, Xiaomi are saying that we're wrong that their browsers send all your data in Incognito mode.
So here's the evidence.
The app first downloaded was the "Mint Browser". It was obtained from the Play Store direct, yesterday.https://t.co/GJedDen5B1 pic.twitter.com/lYzQdCzAwX
— Cybergibbons (@cybergibbons) 30 de abril de 2020
Xiaomi no ha respondido a la última información publicada en Twitter.
Tal vez esto explique en parte lo económico de los dispositivos Xiaomi, puede que parte de lo que se gane en hardware se consiga vendiendo la información de los usuarios.