Gabi Cirlig, pesquisador de segurança cibernética , acusou o smartphone Redmi Note 8 , da Xiaomi , de coletar mais dados do que deveria. "É um backdoor com recursos de telefone", contou Cirlig, depois que percebeu que o celular estava rastreando mais do que apenas o que estava na tela.
Ainda de acordo com o pesquisador, os dados coletados foram enviados para a gigante chinesa Alibaba , que tem sua plataforma utilizada ostensivamente pela Xiaomi para vender seus produtos mundo afora.
Leia também: Gadgets do isolamento: conheça 5 dispositivos diferentões da Xiaomi
Para quem não sabe, o termo backdoor é utilizado para se referir a um método em que um invasor consegue escapar de uma autenticação ou criptografia. Essa porta de entrada secreta fez Cirlig pensar que sua identidade e privacidade poderiam ser expostos à sociedade chinesa.
Você viu?
Navegador da Xiaomi
Ao navegar na web com o navegador padrão da Xiaomi , o pesquisador percebeu que o dispositivo salvou todos os sites visitados, até mesmo os mecanismos de pesquisa, como Google e DuckDuckGo , que prioriza a privacidade do usuário. Segundo Cirlig, nada mudou mesmo que ele utilizasse guias anônimas.
Todos os dados foram agregados e enviados para servidores remotos em Singapura e Rússia, embora os domínios da web hospedados tenham sido registrados em Pequim, na China.
Leia também: Xiaomi Mi 10: quando o smartphone do momento chegará ao Brasil?
A fim de verificar a veracidade das alegações de Cirlig, a Forbes pediu a Andrew Tierney, também pesquisador de segurança cibernética, que investigasse. Tierney descobriu os navegadores oferecidos pela Xiaomi na Play Store - Mi Browser Pro e Mint Browser, que têm mais de 15 milhões de downloads no total - coletavam os mesmos dados.
Com uma capitalização de mercado de US$ 50 bilhões, a Xiaomi é uma das quatro principais fabricantes de smartphones do mundo, ficando atrás apenas da Apple , Samsung e Huawei . O baixo custo de seus dispositivos com especificações de última geração pode acabar custando a privacidade dos usuários, ainda que a Xiaomi negue que exista o problema.
De acordo com a Xiaomi, os dados recebem criptografia durante a transferência, justamente para proteger a privacidade dos usuários. Contudo, segundo Cirlig, o código pode ser facilmente decodificado, já que está sob o método genérico base64.
O pesquisador acredita que o mesmo problema afeta outros modelos de celular da Xiaomi , como o Mi 10, o Redmi K20 e o Mi Mix 3, dos quais baixou o firmware e verificou o mesmo código de navegador.