Uit onderzoek blijkt dat Xiaomi-smartphones massaal browsegegevens en andere gegevens van gebruikers verzamelen en onbeveiligd opslaan op servers in verschillende landen. Dit zou gebeuren zonder dat gebruikers hiervan op de hoogte zijn.
Xiaomi-smartphones verzamelen data
Ervaren cybersecurity-onderzoekers hebben ontdekt dat toestellen van Xiaomi op grote schaal webbrowsegegevens van gebruikers verzamelen. Een grote hoeveelheid data zou worden verzameld op servers van Alibaba, dat mogelijk door Xiaomi wordt gebruikt. Het gaat om webbrowsegegevens met websites die bezocht werden, inclusief zoekopdrachten die via Google en zelfs via het op privacygerichte DuckDuckGo gedaan werden. Dit gebeurde zelfs wanneer de incognito-modus was ingeschakeld. Dit gebeurde via zowel de eigen Xiaomi-browser, als via Mint Browser en Mi Browser Pro.
De onderzoekers kwamen er verder achter dat de smartphone van Xiaomi andere activiteiten vastlegde. Het ging hierbij onder andere om welke mappen er geopend werden en naar welke schermen hij veegde, inclusief de statusbalk en instellingenpagina. De gegevens werden volgens Forbes vervolgens verstuurd naar externe servers in Singapore en Rusland, met webdomeinen die in Peking geregistreerd zijn. Tevens houdt de muziekspeler informatie bij over het gebruik, zoals welk nummer wanneer werd afgespeeld.
Daarnaast maakt de onderzoeker melding van andere informatie die door Xiaomi verzameld en opgeslagen zouden worden. Het gaat hierbij om apparaatgegevens zoals IMEI-nummer en andere specifieke informatie over een toestel. Daarbij ontdekten de onderzoekers dat wanneer er een app geopend werd, steeds een stukje informatie naar een externe server werd gestuurd.
De gegevens werden slecht gecodeerd, en konden binnen een paar seconden eenvoudig in leesbare informatie omgezet worden. Op die manier kan de informatie relatief eenvoudig gekoppeld worden aan een gebruiker. De bevindingen zijn gedaan op een Xiaomi Redmi Note 8, maar zou ook aanwezig zijn op andere Xiaomi-toestellen zoals de nieuwe Xiaomi Mi 10, Redmi K20 en Mi Mix 3.
Reactie van Xiaomi
De onderzoekers hebben de bevindingen voorgelegd bij de Chinese fabrikant. Xiaomi reageert dat de beweringen uit het onderzoek niet waar zijn. Privacy en veiligheid zijn het grootste belang. De lokale wet- en regelgeving inzake privacy en het gebruik van gebruikersgegevens wordt strikt gevolgd en hier voldoet Xiaomi volledig aan, zo stelt Xiaomi.
Ook ontkent Xiaomi dat er browsegegevens worden verzameld terwijl gebruikers de incognito-modus gebruiken. De onderzoekers lieten een video zien waarin het bewijs werd geleverd, maar volgens Xiaomi gaat het hier om geanonimiseerde gebruikersgegevens en gebruiken bedrijven dit voor het verbeteren van de algehele browserproductervaring. Deze informatie zou niet naar een persoon kunnen leiden.
De onderzoekers geven aan dat Xiaomi veel verder gaat dan bijvoorbeeld Google Chrome en Apple Safari. Zij analyseren ook gebruikersgegevens, maar gebruiken die bijvoorbeeld in het geval van crashes. Volgens de onderzoekers is het verzamelen van browsegegevens, inclusief URL’s, zonder uitdrukkelijke toestemming en in de modus voor privé browsen, ongeveer zo erg als maar kan.
Xiaomi zou de gegevens verzamelen om het gedrag van gebruikers beter te begrijpen. De gegevens zouden doorgestuurd worden naar Sensors Analytics, een gedragsanalysebedrijf. Volgens Xiaomi klopt dit, maar worden de verzamelde gegevens anoniem opgeslagen op eigen servers van Xiaomi, en niet verder gedeeld worden met andere externe bedrijven.
Xiaomi is bekend van haar goedkope toestellen met prima specificaties. Dat hier een keerzijde aan zit, kan nu zomaar bewezen zijn; dat je hier toch je privacy (voor een deel) moet inleveren.
Via Forbes
