Su una serie di dispositivi Xiaomi è stata scoperta una backdoor in grado di trasmettere dati sulla navigazione web dei propri utenti.
Questa backdoor è stata trovata sul Mi Browser, una app che assomiglia a Chrome ma che viene preinstallata su buona parte degli Smartphones di casa Xiaomi.
Anche l’applicazione per visualizzare i files marchiata Xiaomi è finita nel mirino per “monitorare” quali files apriamo e quando.
Il mio telefono Xiaomi è sicuro?
Gli Smartphones cinesi sono famosi per essere pieni di Bloatware: tanto software preinstallato che spesso è difficile da rimuovere senza un cambio completo della rom.
La backdoor principale è stata trovata sul Mi Browser Pro, app che sul Play Store conta 10+ milioni di utilizzatori.
Se prendi in considerazione che sempre più utenti abbandonano la coppia chrome/google per aumentare l’anonimato delle loro ricerche; utilizzare il Mi Browser Pro non è di certo una buona idea se hai a cuore la tua privacy.
Vuoi aumentare la tua privacy? Passa da Chrome/Google a Brave/Duckduckgo
Come funziona questa backdoor?
Un esperto di sicurezza rumeno di nome Gabi Cirlig ha effettuato dei test sul suo smartphone Xiaomi subito dopo averlo acquistato. Lo sviluppatore ha così scoperto che le sue ricerche venivano impacchettate e inviate a dei server in Russia, Cina e Singapore. I domini utilizzati per inviare i dati sono tutti risultati di proprietà di Alibaba con sede di registrazione a Pechino.
La scoperta è stata passata all’esperto di sicurezza Thomas Brewster che ha effettuato ulteriori ricerche per il famoso sito Forbes (articolo originale)
E stato scoperto che i seguenti dati venivano registrati:
- Storico navigazione con Mi Browers (anche in incognito)
- Quali file apri
- Quali swipe effettui
- Tutti i dati della status bar (quella in alto con la batteria)
Dopo essere registrati questi dati vengono impacchettati in base64 (non è una crittografia sicura, puoi decodificarla senza bisogno di password) ed inviati ai server di proprietà cinese.
Questa backdoor arriva “di fabbrica” sui seguenti dispositivi:  Xiaomi MI 10, Xiaomi Redmi K2, Xiaomi Mi MIX 3 e Xiaomi Redmi Note 8. Potrebbe essere preinstallata su molti altri smartphones Xiaomi – il test effettuato dagli esperti è stato tuttavia limitato a questi dispositivi.
E’ poi stato scoperto che questa backdoor è presente sul Mi Browser scaricabile dal PlayStore (quindi verrai spiato anche se scarichi la app su un telefono non Xiaomi)
Xiaomi ufficialmente nega tutto
In classico stile Cinese, Xiaomi nega tutto dicendo che la privacy è uno degli obiettivi principali perseguiti dall’azienda cinese.
E’ stato tuttavia ammesso che i dati vengono raccolti e collezionati in maniera anonima. Ma questo è stato dimostrato falso: l’id univoco di ogni dispositivo è stato trovato nei pacchetti inviati a Xiaomi.
Nonostante la sicurezza dei propri sistemi che Xiaomi ha voluto spiegare in questo post ufficiale, è stato scoperto che la società cinese colleziona dati direttamente nelle mani di terzi: una società chiamata SensorData. Questa società è guidata da Sang Wenfeng – un ex dipendente Baidu (il Google cinese), famoso per essere l’esperto che ha sviluppato il sistema di log che registrava tutte le ricerche cinesi.
Questo è il secondo caso in pochi mesi dove un gigante della tecnologia cinese viene scoperto a spiare i propri utenti in maniera aggressiva (ti ricordiamo il caso Cheetah mobile, dove un “super antivirus” in realtà serve da scudo a un sistema di click-injection per guadagni pubblicitari).