Na de onthulling van beveiligingsonderzoekers bij F-Secure die wijzen op clandestiene opslag van gebruikersgegevens op een server in China, heeft Xiaomi zijn cloud-berichtenservice vernieuwd als reactie op beveiligingsproblemen.
F-Secure beweerde in een recent gepubliceerd rapport dat de MIUI-cloudberichtenservice waarschijnlijk de persoonlijke informatie van de gebruiker naar een in China gebaseerde server zal sturen zonder dat de gebruiker het weet. Die gegevens zijn zelfs vertrouwelijk, waaronder telefoonnummer, IMEI-nummer, contactenlijst en sms-berichten.
De gratis cloudgebaseerde berichtenservice maakt deel uit van het MIUI-besturingssysteem en werkt op dezelfde manier als andere cloudberichtensystemen: ze sturen tekstberichten over het web en omzeilen zo de draagkabel van mobiele telefonie. Terwijl het werkt, worden gebruikersgegevens gesynchroniseerd en opgeslagen in de cloud om beschikbaar te zijn op meerdere apparaten.
Voorstanders van privacy en veiligheid waren er snel bij om het delen van gevoelige informatie met een server in China te bekritiseren, omdat gebruikers hulpeloos zijn omdat er geen opt-out-functie op Xiaomi-telefoons was toen de inbreuk op de privacy werd ontdekt.
Xiaomi-functionarissen hebben echter het rapport ontkend dat het bedrijf de privacy van gebruikers heeft geschonden. De vice-president van internationaal zakendoen, Hugo Barra, gaf toe dat MIUI Cloud Messaging informatie zoals telefoonnummer, IMSI en IMEI gebruikt om berichten tussen twee gebruikers te routeren via het IP-communicatieprotocol met Xiaomi-servers, maar ontkende dat de gegevens van contact of sociale grafiek informatie werd opgeslagen op servers in China, eraan toevoegend dat het bedrijf dergelijke gegevens niet voor een langere periode heeft bewaard.
Wat Xiaomi waarschijnlijk wilde verduidelijken, is dat het telefoonnummers gebruikt om de online status van het ontvangende apparaat te bepalen en zo het bericht door de cloud te leiden.
De telefoonnummers van de afzender en ontvanger zijn de primaire handtekeningen waarmee berichten kunnen worden gerouteerd. Het cloud-berichtensysteem werkt om het bericht via IP te routeren in plaats van een carrier-gateway, zolang het apparaat zich in de online modus bevindt. Anders mislukt het systeem als het ontvangende apparaat offline is.
Een mobiel apparaat, met name een Xiaomi-apparaat, wordt verbonden met de Cloud Messaging-servers wanneer de gebruiker een nieuw contact of bericht aanmaakt. Op deze manier verifieert het apparaat de status van de gebruiker door het telefoonnummer van dat contact door te sturen naar de server.
Xiaomi heeft nu enkele wijzigingen in deze procedure aangebracht vanwege beveiligingsproblemen. Het bedrijf versleutelt nu telefoonnummers die naar Cloud Messaging-servers worden verzonden en MIUI Cloud Messaging is optioneel geworden.
