Xiaomi acusada de espiar usuarios, pero sigue creciendo

¿Conoces o tienes algún smartphone de Xiaomi? Seguramente que sí, este fabricante chino ha ido ganando mucha popularidad entre las personas ya que generalmente ofrece smartphones con un precio muy ajustado, brindando funciones o especificaciones de dispositivos que normalmente son más caros.

Anuncio

Pues ahora ha surgido un reporte desde Forbes, escrito por Thomas Brewster en colaboración con con Gabi Cirlig y Andrew Tierney, investigadores de ciberseguridad; quienes afirman haber encontrado paquetes de datos que Xiaomi envía a diversos servidores, uno ubicado en China, que al parecer Xiaomi le renta a Alibaba, una de las compañías más grandes del país, mientras que otros servidores están alojados en Singapur y Rusia, aunque los dominos están registrados en China.

Es normal que compañías envíen información a servidores propios con el fin de mejorar sus servicios, pero aquí viene lo importante. ¿Qué información está recopilando Xiaomi sobre sus usuarios?

Para empezar, Cirlig reporta que Xiaomi envía todas las URL (las direcciones) de páginas que visitas a través de su navegador, esto lo descubrió analizando su Redmi Note 8 específicamente, diciendo que aún los sitios que visitaba en modo incógnito eran enviados a los servidores mencionados.

Sin embargo, según Cirlig, no son los únicos datos que son enviados a servidores chinos, también incluye datos sobre carpetas que has abierto, y también los swipes, o gestos que has hecho con tu dedo en diferentes pantallas como la barra de estado y los ajustes, aunque esto, principalmente es enviado a los servidores de Singapur y Rusia.

Además, si no te habías enterado, hace unas semanas Xiaomi llevó su navegador web a la Google Play Store para que usuarios de otras marcas pudieran descargarlo. Tanto el Mi Browser Pro como el Mint Browser son de Xiaomi y fueron analizados por Andrew quien descubrió que pasaba exactamente lo mismo, envían los datos de navegación, incluidas las URL que se abren en modo incógnito. Estos navegadores suman más de 15 millones de descarga según cifras de Google Play.

A pesar de que el Redmi Note 8 fue el primer dispositivo que analizó Cirlig, también descargo el firmware de equipos más caros como el Mi 10, Redmi K20 y Mi Mix 3 y se dio cuenta que pasaba exactamente lo mismo, los datos son enviados a servidores, pero eso no es considerado lo más grave todavía.

Como mencionamos antes, muchas compañías envían datos a sus servidores para recolectar información que les permita mejorar sus servicios, sin embargo en este caso de Xiaomi, la información viaja con una encriptación básica llamada base64, que basta con ponerla en alguna página de desencriptación base 64 para conocer el texto original. Por lo que atacantes podrían estar interceptando esos paquetes y de esta manera conociendo también la información de los usuarios.

Xiaomi ya realizó una respuesta oficial diciendo que el reporte hecho por Forbes se debe a un malentendido y que están decepcionados. Cito el resto del comunicado:

“Creemos que [Forbes] ha malinterpretado lo que comunicamos con respecto a nuestros principios y política de privacidad de datos. La privacidad y seguridad de internet de nuestros usuarios es de máxima prioridad en Xiaomi; estamos seguros que seguimos estrictamente y cumplimos totalmente con las leyes y regulaciones locales. Nos hemos comunicado con Forbes para ofrecer claridad sobre esta desafortunada mala interpretación».

Xiaomi

El fabricante aclara que está recolectando dos tipos de datos:

  • Recolección de datos de estadísticas de uso agregados: Los datos (como la información del sistema, las preferencias, el uso de la interfaz de usuario, la capacidad de respuesta, el rendimiento, el uso de la memoria y los informes de fallas) se agregan y no se pueden usar solos para identificar a ninguna persona.
  • Sincronización de datos de navegación del usuario: los datos de navegación de un usuario (historial) se sincronizan cuando: El usuario ha iniciado sesión en Mi cuenta y la función de sincronización de datos se establece en «Activado» en Configuración

Xiaomi incluso publicó parte del código de su navegador para demostrar cómo otorga tokens anónimos para que sea imposible relacionar al usuario de dicha información.

Sin embargo, tanto Cirlig como Tierney afirman que no solo se envía la URL al servidor, sino también números únicos para identificar dispositivos y su versión de Android. Según Cirlig, este tipo de datos facilitan la identificación de la persona que está usando el equipo.

Xiaomi también niega que la información de navegación dentro del modo incógnito sea compartida pero Cirlig y Tierney dicen que sí, y que el motivo de esta recolección de datos es compartirla con Sensor Analytics, una compañía china que es capaz de analizar el comportamiento de los usuarios. Xiaomi utiliza APIS (interfaces para desarrolladores de aplicaciones) de Sensor Analytics para el envío de la información.

Un portavoz de Xiaomi confirmó la relación con la startup diciendo: «Si bien Sensors Analytics proporciona una solución de análisis de datos para Xiaomi, los datos anónimos recopilados se almacenan en los propios servidores de Xiaomi y no se compartirán con Sensors Analytics ni con ninguna otra empresa de terceros«.

Así que esta es la historia que conocemos hasta el momento, donde Cirlig y Tierney coinciden en que el bajo precio de los dispositivos de Xiaomi tiene un costo extra oculto: La privacidad.

Pero mientras Xiaomi es acusada de espiar a sus usuarios, parece que su crecimiento sigue imparable. Según datos de Counterpoint Research a pesar de que los envíos globales de smartphones han disminuido un 13%, Xiaomi ha crecido comparando los datos del primer cuarto del 2019 con el mismo periodo de este año, ya que pasó de 27.8 a 29.7 millones de unidades enviadas.

Xiaomi alcanza un 10% de la distribución actual del mercado de los smartphones, acercándose a Apple quien ocupa el 14%, aunque Apple se ha logrado mantener en el mismo porcentaje a pesar de haber reducido sus envíos en 2 millones.

De esta noticia y más hablamos en El Recuento de hoy:

Deja un comentario