Securityonderzoeker Gabi Cirlig zegt tegen Forbes dat hij zelf ontdekte hoe zijn Redmi Note 8 opvallend veel data doorstuurt naar servers van Alibaba. De servers zelf stonden in Rusland en Singapore, maar de gekoppelde domeinen werden geregistreerd in Peking.

Alle bezochte websites werden bijgehouden, net zoals bekeken nieuwsitems in de newsfeed van de Xiaomi software. Ook zoekopdrachten, inclusief die via Google en het meer privacybewuste DuckDuckGo passeren langs servers die Xiaomi heeft opgezet. Wat de zaak nog gevoeliger maakt is dat ook in incognitomodus die gegevens werden bijgehouden.

Naar aanleiding van zijn bevindingen ging Cirlig ook de firmware van andere Xiaomi-toestellen bekijken en stelde onder meer op de Mi 10, Redmi K20 en Mi MIX 3 dezelfde browsercode vast. Ook de Mi Browser Pro en Mint Browser, beiden van Xiaomi en aanwezig in de Play Store, verzamelen browserdata.

Maar het stopt niet bij browseractiviteiten. Ook van welke mappen werden geopend, op welke schermen er werd geswiped, inclusief statusbar en instellingen, werd allemaal doorgestuurd. Ook welke muzieknummers en luistergewoontes een gebruiker heeft, wordt bijgehouden.

Xiaomi: Het klopt niet, maar we doe het wel

Xiaomi zelf ontkent het probleem deels. Het bedrijf zegt in eerste instantie aan Forbes dat de beweringen niet waar zijn, dat privacy en security een topprioriteit zijn en dat het bedrijf in regel met lokale wetgeving werkt. Die laatste twee zijn intussen een standaardzinnetje voor bedrijven die worden geconfronteerd met privacyvragen.

Maar de vierde grootste telefoonmaker ter wereld bevestigt wel dat er browserdata wordt verzameld, hetzij geanonimiseerd en met toestemming van de gebruiker. Al heeft het bedrijf toch niet zoveel vertrouwen in die toestemming en anonimisering want intussen kondigt het een update aan waarmee gebruikers expliciet die dataversluizing via de browser kunnen stopzetten.

Maar daarmee pakt het bedrijf maar een deel van het probleem aan. Ook het unieke identificatienummer, de androidversie en andere zaken die makkelijk te koppelen zijn aan een individu worden doorgestuurd.

Tegelijk ontkent Xiaomi dat er browserdata in incognitomodus wordt bijgehouden. Dat klopt niet. De securityonderzoekers die samenwerkten met Forbes tonen aan hoe iemand in incognitomodus via Google naar 'porn' zoekt en vervolgens doorklikt naar Pornhub. Die data kon makkelijk onttrokken worden op basis van wat er werd doorgestuurd door de telefoon.

Het risico bestaat bovendien dat niet enkel Xiaomi meeluistert. De data wordt volgens het bedrijf geëncrypteerd, maar volgens Cirlig gebruikt het bedrijf daarvoor Base64 codering, die op enkele seconden te kraken valt waarna er leesbare informatie uit de data te halen valt.

Elke app gemonitord

Maar de praktijken gaan nog verder. Cirlig merkte ook dat er data naar de Xiaomi-servers werd verstuurd elke keer er een app werd geopend. Daarvoor heeft Xiaomi een iets zinnigere uitleg: het werkt namelijk samen met Sensor Analytics, ook bekend als Sensors Data. Een Chinese start-up die helpt om gebruikservaring te analyseren. Ook dat gebeurt volgens het bedrijf anoniem en zonder ze te delen met andere bedrijven.

Samengevat blijkt een toestel van Xiaomi bijzonder veel data door te sturen naar het bedrijf. Het bedrijf stelt dat het minder ernstig is dan het lijkt, maar ontkent de dataverzameling niet. Dat het bedrijf ontkent dat er data in incognitomodus wordt doorgestuurd terwijl dat zwart op wit wordt bewezen doet echter vragen rijzen over wat er nog wordt bijgehouden of in welke mate Xiaomi wel degelijk rekening houdt met de privacy en veiligheid van gebruikers.

Securityonderzoeker Gabi Cirlig zegt tegen Forbes dat hij zelf ontdekte hoe zijn Redmi Note 8 opvallend veel data doorstuurt naar servers van Alibaba. De servers zelf stonden in Rusland en Singapore, maar de gekoppelde domeinen werden geregistreerd in Peking.Alle bezochte websites werden bijgehouden, net zoals bekeken nieuwsitems in de newsfeed van de Xiaomi software. Ook zoekopdrachten, inclusief die via Google en het meer privacybewuste DuckDuckGo passeren langs servers die Xiaomi heeft opgezet. Wat de zaak nog gevoeliger maakt is dat ook in incognitomodus die gegevens werden bijgehouden.Naar aanleiding van zijn bevindingen ging Cirlig ook de firmware van andere Xiaomi-toestellen bekijken en stelde onder meer op de Mi 10, Redmi K20 en Mi MIX 3 dezelfde browsercode vast. Ook de Mi Browser Pro en Mint Browser, beiden van Xiaomi en aanwezig in de Play Store, verzamelen browserdata.Maar het stopt niet bij browseractiviteiten. Ook van welke mappen werden geopend, op welke schermen er werd geswiped, inclusief statusbar en instellingen, werd allemaal doorgestuurd. Ook welke muzieknummers en luistergewoontes een gebruiker heeft, wordt bijgehouden.Xiaomi: Het klopt niet, maar we doe het welXiaomi zelf ontkent het probleem deels. Het bedrijf zegt in eerste instantie aan Forbes dat de beweringen niet waar zijn, dat privacy en security een topprioriteit zijn en dat het bedrijf in regel met lokale wetgeving werkt. Die laatste twee zijn intussen een standaardzinnetje voor bedrijven die worden geconfronteerd met privacyvragen.Maar de vierde grootste telefoonmaker ter wereld bevestigt wel dat er browserdata wordt verzameld, hetzij geanonimiseerd en met toestemming van de gebruiker. Al heeft het bedrijf toch niet zoveel vertrouwen in die toestemming en anonimisering want intussen kondigt het een update aan waarmee gebruikers expliciet die dataversluizing via de browser kunnen stopzetten.Maar daarmee pakt het bedrijf maar een deel van het probleem aan. Ook het unieke identificatienummer, de androidversie en andere zaken die makkelijk te koppelen zijn aan een individu worden doorgestuurd.Tegelijk ontkent Xiaomi dat er browserdata in incognitomodus wordt bijgehouden. Dat klopt niet. De securityonderzoekers die samenwerkten met Forbes tonen aan hoe iemand in incognitomodus via Google naar 'porn' zoekt en vervolgens doorklikt naar Pornhub. Die data kon makkelijk onttrokken worden op basis van wat er werd doorgestuurd door de telefoon.Het risico bestaat bovendien dat niet enkel Xiaomi meeluistert. De data wordt volgens het bedrijf geëncrypteerd, maar volgens Cirlig gebruikt het bedrijf daarvoor Base64 codering, die op enkele seconden te kraken valt waarna er leesbare informatie uit de data te halen valt.Elke app gemonitordMaar de praktijken gaan nog verder. Cirlig merkte ook dat er data naar de Xiaomi-servers werd verstuurd elke keer er een app werd geopend. Daarvoor heeft Xiaomi een iets zinnigere uitleg: het werkt namelijk samen met Sensor Analytics, ook bekend als Sensors Data. Een Chinese start-up die helpt om gebruikservaring te analyseren. Ook dat gebeurt volgens het bedrijf anoniem en zonder ze te delen met andere bedrijven.Samengevat blijkt een toestel van Xiaomi bijzonder veel data door te sturen naar het bedrijf. Het bedrijf stelt dat het minder ernstig is dan het lijkt, maar ontkent de dataverzameling niet. Dat het bedrijf ontkent dat er data in incognitomodus wordt doorgestuurd terwijl dat zwart op wit wordt bewezen doet echter vragen rijzen over wat er nog wordt bijgehouden of in welke mate Xiaomi wel degelijk rekening houdt met de privacy en veiligheid van gebruikers.