Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs

Aussi bien lorsqu'ils allaient sur le web que lorsqu'ils se servaient de leur dispositif

Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.

Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.

Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.


L'appareil enregistrait également les dossiers qu'il ouvrait et où il se rendait (sur son smartphone), y compris la barre d'état et la page des paramètres. Toutes les données étaient regroupées et envoyées à des serveurs distants à Singapour et en Russie, bien que les domaines Web qu'ils hébergeaient étaient enregistrés à Pékin.

Pour vérifier ses assertions, Forbes a demandé au chercheur en cybersécurité Andrew Tierney de mener son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.

Beaucoup plus de millions de personnes sont susceptibles d'être affectées par ce que Cirlig a décrit comme un grave problème de confidentialité, bien que Xiaomi ait nié l'existence d'un problème. Avec une capitalisation boursière de 50 milliards de dollars, Xiaomi est l'un des quatre principaux fabricants de smartphones au monde en termes de part de marché, derrière Apple, Samsung et Huawei. Les plus grandes ventes de Xiaomi lui parviennent de ses appareils d’entrée et milieu de gamme qui apportent de nombreuses fonctionnalités présentées par des smartphones haut de gamme. Mais pour les clients, ce faible coût pourrait avoir un prix élevé : leur vie privée.

Cirlig pense que les problèmes affectent beaucoup plus de modèles que celui qu'il a testé. Il a téléchargé le firmware d'autres téléphones Xiaomi, y compris les appareils Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3. Il a ensuite confirmé qu'ils avaient le même code de navigateur, ce qui l’a conduit à penser qu'ils ont les mêmes problèmes de confidentialité.

Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.

« Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a averti Cirlig.


La réponse de Xiaomi

En réponse à ses affirmations et résultats, Xiaomi a déclaré: « les...