Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs

Aussi bien lorsqu'ils allaient sur le web que lorsqu'ils se servaient de leur dispositif

Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.

Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.

Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.


L'appareil enregistrait également les dossiers qu'il ouvrait et où il se rendait (sur son smartphone), y compris la barre d'état et la page des paramètres. Toutes les données étaient regroupées et envoyées à des serveurs distants à Singapour et en Russie, bien que les domaines Web qu'ils hébergeaient étaient enregistrés à Pékin.

Pour vérifier ses assertions, Forbes a demandé au chercheur en cybersécurité Andrew Tierney de mener son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.

Beaucoup plus de millions de personnes sont susceptibles d'être affectées par ce que Cirlig a décrit comme un grave problème de confidentialité, bien que Xiaomi ait nié l'existence d'un problème. Avec une capitalisation boursière de 50 milliards de dollars, Xiaomi est l'un des quatre principaux fabricants de smartphones au monde en termes de part de marché, derrière Apple, Samsung et Huawei. Les plus grandes ventes de Xiaomi lui parviennent de ses appareils d’entrée et milieu de gamme qui apportent de nombreuses fonctionnalités présentées par des smartphones haut de gamme. Mais pour les clients, ce faible coût pourrait avoir un prix élevé : leur vie privée.

Cirlig pense que les problèmes affectent beaucoup plus de modèles que celui qu'il a testé. Il a téléchargé le firmware d'autres téléphones Xiaomi, y compris les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Il a ensuite confirmé qu'ils avaient le même code de navigateur, ce qui l’a conduit à penser qu'ils ont les mêmes problèmes de confidentialité.

Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.

« Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a averti Cirlig.


La réponse de Xiaomi

En réponse à ses affirmations et résultats, Xiaomi a déclaré: « les allégations de recherche sont fausses » et « la confidentialité et la sécurité sont des préoccupations majeures», ajoutant qu'il « suit strictement et est pleinement conforme aux lois et règlements locaux sur les questions de confidentialité des données des utilisateurs ». Mais un porte-parole a confirmé qu'il collectait des données de navigation, affirmant que les informations étaient anonymisées et n'étaient liées à aucune identité. Il a indiqué que les utilisateurs avaient consenti à un tel suivi.

Mais, comme l'ont souligné Cirlig et Tierney, ce n'est pas seulement le site Web ou la recherche Web qui a été envoyé au serveur. Xiaomi collectait également des données sur le téléphone, y compris des numéros uniques pour identifier l'appareil spécifique et la version Android. Cirlig a déclaré que ces « métadonnées » pourraient « être facilement corrélées avec un humain réel derrière l'écran ».

Le porte-parole de Xiaomi a également nié que les données de navigation soient enregistrées en mode navigation privée. Cependant, Cirlig et Tierney ont découvert dans leurs tests indépendants que leurs habitudes Web étaient envoyées à des serveurs distants, quel que soit le mode de navigation du navigateur, fournissant des photos et des vidéos comme preuve.

Lorsque Forbes a fourni à Xiaomi une vidéo réalisée par Cirlig montrant comment sa recherche Google pour « porno » et une visite sur le site PornHub ont été envoyées à des serveurs distants, même en mode incognito, le porte-parole de la société a continué de nier que les informations étaient enregistrées . « Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables », a-t-il assuré.


Cirlig et Tierney ont déclaré que le comportement de Xiaomi était plus invasif que d'autres navigateurs comme Google Chrome ou Apple Safari. « C'est bien pire que tous les navigateurs grand public que j'ai vus », a déclaré Tierney. «Beaucoup d'entre eux prennent des données pour analyse, mais il s'agit d'analyse sur une utilisation qui a conduit à un plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le plus mauvais comportement possible ».

Cirlig soupçonnait également que son utilisation d’applications était surveillée par Xiaomi, car chaque fois qu'il ouvrait une application, un bloc d'informations était envoyé à un serveur distant. Un autre chercheur qui avait testé des appareils Xiaomi, mais qui était sous accord de non-divulgation quant à une discussion ouverte sur la question, a déclaré qu'il avait vu le téléphone du fabricant recueillir de telles données. Xiaomi n'a pas répondu aux...