Non è la prima volta che Xiaomi si trova suo malgrado sotto ai riflettori, con accuse dirette verso comportamenti ritenuti illegittimi. Negli anni varie voci si sono rincorse nel puntare il dito verso l'azienda di Lei Jun e ad un trattamento dei dati non sempre trasparente. Già nel 2014 accadde, così come nel 2016 e, più recentemente, a fine 2019., senza contare le molteplici accuse di plagio delle proprietà intellettuali altrui. Ma oggi voglio concentrarmi sulle ultimissime accuse ricevute da Xiaomi in merito ad una ambigua gestione dei dati raccolti tramite browser.

Xiaomi risponde alle accuse ricevute dai media sulla gestione dei dati degli utenti

Tutto è partito dall'inchiesta avviata da Forbes, con l'ausilio di addetti ai lavori che hanno analizzato la situazione, fornendo prove più o meno concrete sul comportamento anomalo di Xiaomi. Vista la gravità della situazione, la società non ha tardato a rispondere per chiarire la faccenda ed allontanare le ombre gettate su di essa. Ma analizziamo la situazione da più fronti, per capire meglio quale possa essere la verità dei fatti.

Il primo a far scattare l'allarme è stato Gabriel Cîrlig, membro del team Bot Hunter, il cui obiettivo è placare la piaga di bot e malware che imperversano in rete. Durante le sue ricerche, Gabriel ha scoperto che sia Mi Browser che Mint Browser sono in grado di tracciare sia i siti visitati che le ricerche effettuate su Google e DuckDuckGo. A destare sospetto è stato il fatto che ciò avviene anche settando il browser in modalità Privata o Incognito, inviando i dati raccolti ai server privati di Xiaomi.

Xiaomi ha confermato questa raccolta dati, comprensiva di dati come “informazioni di sistema, preferenze, utilizzo delle funzionalità dell'interfaccia utente, reattività, prestazioni, utilizzo della memoria e log degli arresti anomali“. Non si specifica letteralmente, ma il motivo del perché anche avviene questa analisi URL è da ricercare proprio nelle “prestazioni”. Così facendo, Xiaomi è in grado di capire quali siti si aprono lentamente, capendo così come migliorare i propri browser.

Ad esporsi in merito è stato anche Manu Jain, vice presidente della divisione Global e general manager della divisione India. Egli ribadisce come la raccolta dati avvenga soltanto previo consenso degli utenti. E sì, la raccolta avviene anche in modalità incognita, ma in forma criptata ed anonima ed esclusivamente a fini statistici.

Avete effettuato l'accesso al Mi Account? Allora anche voi siete stati tracciati

La conferma riguarda anche la modalità Incognito, oltre a specificare che i dati vengono raccolti solamente dopo aver effettuato l'accesso al proprio Mi Account ed aver abilitato la sincronizzazione. A tal proposito, pare che, una volta effettuato il log in, anche sloggandosi la situazione rimanga invariata. Lo dimostra la testimonianza portata alla luce sempre da Gabriel e mostrata in video:

I decided to record a session after @cybergibbons awesome vid yesterday. Found out that Xiaomi not only send that same UUID in incognito, but they also store your MI account and keep sending it even after you log out.https://t.co/3cwBEFv1tp — Gabriel Cîrlig (@hookgab) May 3, 2020

Inoltre, un'altra incongruenza è segnalata da Andrew Tierney, consulente di sicurezza che si è interessato alla vicenda. Ha tenuto a puntualizzare, assieme ad altri addetti, come i dati raccolti comprendano anche un UUID, ovvero l'Universally Unique Identifier.

Firstly, I and several others have re-confirmed the findings today, across multiple devices. There is no doubt that the Mint Browser sends search terms and URLS whilst in Incognto mode. — Cybergibbons (@cybergibbons) May 1, 2020

Senza scendere troppo nello specifico (nel caso googlate), si tratta di un codice a 128-bit composto da 32 caratteri esadecimali. Xiaomi puntualizza come il codice in questione venga generato in maniera randomica, non potendo essere attribuibile ad un dispositivo specifico. Andrew su questo concorda, ma specificando come questo codice rimanga invariato per 24 ore. Di conseguenza, può potenzialmente essere sfruttato per tracciare l'utente correlato in questo lasso di tempo preciso.

I dubbi rimangono sul trattamenti dei dati e sulla loro anonimicità

La vicenda prosegue con il trattamento dei dati raccolti: dove vanno a finire, potreste chiedervi? Secondo le analisi effettuate, i dati in questione verrebbero raccolti in server privati localizzati in aree come Russia e Singapore. Il dominio, invece, è registrato presso Pechino, in Cina. La risposta di Xiaomi è stata la seguente:

“Xiaomi ospita le informazioni su un'infrastruttura cloud pubblica che è comune e ben nota nel settore. Tutte le informazioni dei nostri servizi e degli utenti all'estero sono archiviate su server in vari mercati esteri in cui le leggi e le normative sulla protezione della privacy degli utenti locali sono rigorosamente seguite e alle quali siamo pienamente conformi“.

Per quanto riguarda l'India, invece, il CEO Manu ha specificato che i dati riguardanti gli utenti indiani rimangono raccolte sui server indiani.

Il problema sollevato dai ricercatori riguarda anche il passaggio che avviene fra raccolta e l'invio. Il passaggio dagli smartphone ai server avviene tramite encoding base64, un sistema di codifica a 64 caratteri ASCII. Questo viene criticato, in quanto ritenuto troppo facile da essere potenzialmente tracciato e letto lato client, con le criticità che ne conseguono. La risposta di Xiaomi non ha trattato direttamente questo aspetto, pur specificando che l'invio dei dati avviene tramite crittografia TLS 1.2 e non può essere intercettato.

Alla luce di tutto ciò, la faccenda si potrebbe riassumere con un punto specifico: i dati vengono raccolti soltanto dopo aver dato il proprio consenso. È palese che moltissimi utenti clicchino “accetto” a qualsiasi policy gli venga presentata, che siano app, social o servizi vari, senza informarsi su cosa ciò effettivamente comporti, salvo poi lamentarsene alla prima anomalia. D'altro canto, è altresì vero che le aziende non sembrano fare nulla per rendersi quanto più trasparenti possibile in frangenti delicati come questo. Ci auguriamo, quindi, che Xiaomi possa rivedere i propri comportamenti, mettendo nero su bianco quello a cui va incontro un utente una volta compiute determinate azioni.

