Un informe reciente de ciberseguridad destaca las puertas traseras en los teléfonos Xiaomi, a través de las cuales se transportan los datos privados de los usuarios a los servidores en la nube de Alibaba. El hombre detrás del descubrimiento es Gabriel Cirlig, un investigador veterano de seguridad web. Compartió su preocupante hallazgo con la revista Forbes.
Veamos de qué se trata y cómo respondió Xiaomi.
La puerta de atrás
Redmi Note 8“Una puerta trasera con funcionalidad de teléfono”, es lo que Gabriel Cirlig llamó el exploit, mientras hablaba con Forbes.
Aunque fisgoneó en su Redmi Note 8 personal al principio, el mismo problema se identificó más tarde en otros teléfonos Xiaomi como Mi 10, Redmi K20 y Mi MIX 3.
Notó que los siguientes datos se registraban y se enviaban a servidores en la nube de terceros:
Sus búsquedas en Google (incluso de incógnito) y otra actividad web en el navegador Xiaomi Cada elemento visto en el servicio de noticias de Xiaomi Su interacción con el lanzador MIUI, la configuración y el administrador de archivos.
Estos se enviaban a servidores remotos en Singapur y Rusia, aunque los dominios web que alojaban estaban registrados en Beijing. No solo eso, las aplicaciones de Xiaomi también enviaban datos a dominios que parecían hacer referencia a Sensor Analytics (más sobre eso más adelante).
Además, otro investigador de ciberseguridad llamado Andrew Tierney también corroboró los hallazgos de Cirlig. Identificó a Mi Browser Pro y Mint Browser como los culpables. Estas son aplicaciones populares con descargas combinadas de aproximadamente 15 millones en Google Play Store.
Cirlig y Tierney mencionaron cómo Xiaomi recopilaba “datos sobre el teléfono, incluidos números únicos para identificar el dispositivo específico y la versión de Android, algo que podría correlacionarse fácilmente con un humano real detrás de la pantalla”.
LEA TAMBIÉN: Precios esperados de la serie Apple iPhone 12
La respuesta de Xiaomi
Xiaomi refuta las acusaciones diciendo que “las afirmaciones de la investigación son falsas”, “la privacidad y la seguridad son las principales preocupaciones” y que “cumplen totalmente con las leyes y regulaciones locales sobre asuntos de privacidad de datos de los usuarios”.
Subraya el hecho de que sus usuarios habían aceptado dicho seguimiento.
Cuando los usuarios abren la aplicación por primera vez, se muestra una gran ventana emergente que solicita permiso para la recopilación de datos. Esto es algo que la mayoría de los usuarios de teléfonos inteligentes deben tener en cuenta, ya que es algo omnipresente. Cada aplicación lo hace.
En cuanto a Sensor Analytics, Xiaomi dice que la empresa “proporciona una solución de análisis de datos para Xiaomi”, y los datos anónimos recopilados se “almacenan en los propios servidores de Xiaomi y no se compartirán con Sensor Analytics, ni con ninguna otra empresa de terceros”.
LEA TAMBIÉN: Lista de funciones y dispositivos elegibles de MIUI 12
Una nota final de precaución
Si bien Xiaomi afirma que los datos enviados a los servidores en la nube están encriptados, Cirlig dice que podría descifrar fácilmente los mismos en cuestión de segundos. ¡Hmm!
En defensa de Xiaomi, todas las empresas recopilan y recopilan datos. Es al menos sincero al respecto. Su modelo de negocio se centra menos en los márgenes de hardware y más en los ingresos de datos y anuncios.
Pero luego está el punto que plantea Cirlig:
“Mi principal preocupación por la privacidad es que los datos enviados a sus servidores pueden correlacionarse muy fácilmente con un usuario específico”.
Aumenta la advertencia cuando advierte que millones de otros usuarios también podrían verse afectados. Y cada uno de esos usuarios podría no estar de acuerdo con que sus datos privados se registren y compartan.
Acuerdo de usuario de MIUI
