Sta facendo molto discutere la dichiarazioni della Lituania contro gli smartphone cinesi, fra cui quelli Huawei, OnePlus ma soprattutto quelli Xiaomi. L’azienda di Lei Jun è stata quella che ne è uscita peggio dalle accuse delle autorità lituane, le quali hanno affermato che la Cina censura con i suoi smartphone. Non è la prima volta che alla compagnia vengono rivolte accuse di questo tipo, come nel caso della controversa raccolta dati effettuata tramite il proprio Mi Browser. Per non parlare del ban USA che subì qualche mese fa, ma che per sua fortuna venne ritirato non avendo trovato nessuna prova effettiva. Ma questa volta l’accusa assume toni più accesi, in quanto coinvolge direttamente anche le azioni del Partito Comunista Cinese.
Tutto è scaturito da un report stilato dal Centro di Sicurezza Informatica della Lituania (NSCC), nel quale vengono evidenziate varie falle di sicurezza degli smartphone Xiaomi. Ad attirare l’attenzione dei più sono state le accuse di censura, ma il report parla anche della possibilità di inviare SMS all’insaputa dell’utente quando si utilizza il cloud Xiaomi. Per vederci chiaro, il team XDA ha deciso di indagare a loro volta, concentrandosi sul famigerato database MiAdBlacklistConfig, il quale conterrebbe le parole censorie su cui il governo lituano ha puntato il dito.
Aggiornamento 27/09: dopo le prove, arriva il comunicato ufficiale da parte di Xiaomi sulle accuse della Lituania. Trovate tutti i dettagli a fine articolo.
Ecco le prove che scagionano Xiaomi dalle accuse di censura e raccolta dati illecita
Le indagini dell’NSCC sono state svolte su uno Xiaomi Mi 10T con MIUI 12.0.10 Global, specificando che le ROM occidentali non presentano censura. Ricordiamo che Xiaomi sviluppa il proprio software a partire dalla MIUI China, da cui poi effettua i vari porting sotto forma di MIUI Global, EEA e così via. In poche parole, le ROM cinesi presenterebbero censura, mentre la controparte occidentale no ma ci sarebbe la potenzialità di attivarla da remoto in qualsiasi momento.
Per questo, XDA ha indagato utilizzando uno Xiaomi Mi 11 Ultra con ROM Xiaomi.eu, una custom ROM ma essenzialmente basata sulla MIUI China. Ed infatti il file MiAdBlacklistConfig è stato trovato, per quanto soltanto all’interno dell’app Mi Video e non dentro al Mi Browser. Grazie ai permessi di root, è stato possibile estrarre il contenuto del file incriminato e ciò che è stato scoperto pone già forti dubbi contro le accuse lituane.
Secondo le indagini dell’NSCC, il database conterrebbe 449 voci, comprese frasi sensibili al Partito Comunista Cinese riguardanti Tibet, Hong Kong, Taiwan e così via. In realtà, il database ne contiene molte di più, per l’esattezza più di 2000 voci. Se foste curiosi, trovate il database in questo articolo dedicato. Ma scorrendo la lista, ci si accorge molto presto che la maggior parte della lista comprende voci innocue. L’analisi di XDA parla di voci relative ad argomenti sessuali, pornografici ma anche ad altre marche di smartphone. Ecco alcuni esempi:
- zte
- Infinix
- China
- xxx
- samsung
- oneplus
- download videos
- download bollywood song
- Taiwan Solidarity Union
- sony ericsson
- mi
- xiaomi mi5
- mi mobile phone
Capirete da voi, quindi, che questa lista non può contenere parole da censurare, perché ci sono palesi conflitti. In primis la parola “mi“: se fosse censurata, i possessori di smartphone non sarebbero nemmeno in grado di visitare il sito ufficiale dell’azienda, mi.com.
A questo punto, il team XDA ha deciso di andare ancora più a fondo, scavando all’interno dell’app Mi Video dove ha trovato il file MiAdBlacklistConfig. E quella che è stata scoperta è una svista piuttosto grave che comprometterebbe l’esito di tutta l’indagine svolta dalle autorità lituane. Come potete vedere nello screenshot qua sopra, il codice software in questione esegue un controllo basandosi sulla voce INativeAd. Questo è un elemento presente nell’app e fa parte del Xiaomi Global Ad Software Development Kit. Scorrendo all’interno del software Xiaomi, si scopre che INativeAd viene utilizzato per la visualizzazione degli annunci pubblicitari. In poche parole, siamo dinnanzi ad un filtro utilizzato per visualizzare determinate pubblicità.
Se conoscete la storia di Xiaomi e soprattutto della MIUI, vi sarete accorti che in passato l’azienda si è attirata le antipatie della community a causa di pubblicità “controverse”. Da allora, il team software si è impegnato per risolvere il problema delle pubblicità volgari. Ed infatti, a parte qualche caso più o meno isolato, Xiaomi ha ridimensionato il misfatto, soprattutto sulle ROM occidentali come MIUI Global e soprattutto MIUI EEA. A tal proposito, se aveste ancora problemi di pubblicità, vi consiglio di seguire la mia guida. Se si scorre la lista del database MiAdBlacklistConfig, si capisce ancora di più la situazione. Ecco altre voci:
- 5 cose che ogni ragazza pensa nella sua prima notte di matrimonio
- controllo della gravidanza con metodo casalingo
Certo, di mezzo ci sono anche argomenti scomodi al Partito Comunista Cinese come le succitate nazioni. Ma anche la parola “hottest” è contenuta nel database e appare evidente che l’intento di Xiaomi non sia tanto quello di censurare, quanto quello di evitare pubblicità controverse. Niente più annunci come “the hottest video trending” o robe di scarsa qualità del genere, insomma.
E la questione del cloud e degli SMS nascosti?
Il team XDA non si è limitato ad indagare sull’aspetto censorio, ma anche sull’accusa di registrazione su server asiatici all’insaputa dell’utente. Utilizzando i servizi cloud Xiaomi, secondo l’NSCC lituano verrebbe inviato in automatico un SMS nascosto per registrare il numero telefonico dell’utente. Quello che XDA ha fatto è stato configurare due smartphone, Xiaomi Mi 11 Ultra e 11T Pro, e controllare con il proprio operatore se fossero stati inviati SMS internazionali. La risposta è stata negativa. Non resta che capire se ci saranno ulteriori risvolti su una vicenda che pare nuovamente essere uno statement politico più che un’indagine imparziale.
Comunicato ufficiale | Aggiornamento 27/09
A distanza di qualche giorno dall’accaduto, ecco il comunicato ufficiale pubblicato da Xiaomi Italia:
Xiaomi è a conoscenza del rapporto “Cybersecurity assessment of 5G-enabled mobile devices”, recentemente pubblicato dalla Cybersecurity and Information Authority of Lithuania (NCSC) e ha preso molto seriamente le illazioni contenute nel suddetto rapporto.
Benché dissentiamo sulla natura di alcuni risultati, intendiamo avvalerci di un ente terzo indipendente per esaminare i punti sollevati nel rapporto. Siamo assolutamente certi dell’integrità dei nostri dispositivi e delle norme di conformità che regolano il nostro business, pertanto riteniamo necessario il coinvolgimento di una società esterna competente in materia per effettuare le opportune verifiche a beneficio dei nostri Partner e dei nostri Clienti.
In particolare, Xiaomi vorrebbe fare luce su due punti importanti evidenziati nel rapporto:
1. Presunta censura
I dispositivi Xiaomi non limitano o filtrano le comunicazioni da o verso i propri utenti. Xiaomi non ha mai limitato o bloccato alcun comportamento personale dei propri clienti, come le ricerche, le chiamate, la navigazione sul web o l’uso di software di comunicazione di terze parti, e non lo farà mai. Il rapporto NCSC in questione non sostiene tale azione da parte nostra.
Il rapporto evidenzia l’uso da parte di Xiaomi di un software di gestione della pubblicità che ha la capacità limitata di gestire le pubblicità a pagamento e quelle push presenti sui dispositivi attraverso le app Xiaomi, come Mi Video e Mi Browser. Si tratta di un software che può essere utilizzato per proteggere gli utenti da contenuti offensivi, come la pornografia, la violenza, i discorsi che incitano all’odio e i riferimenti che potrebbero risultare oltraggiosi per gli utenti. È una pratica comune nel settore degli smartphone e del web in tutto il mondo.
Riesaminiamo di volta in volta le politiche del nostro sistema di gestione della pubblicità per garantire che soddisfino le esigenze e le aspettative dei nostri utenti. Xiaomi si impegna a operare in modo responsabile e trasparente in tutte le giurisdizioni. Ci impegniamo costantemente a migliorare e a innovare e accogliamo favorevolmente la collaborazione con gli utenti, le autorità di regolamentazione e gli altri stakeholder.
2. Trattamento e trasferimento dei dati
il report sostiene erroneamente una gestione inappropriata dei dati. Xiaomi è pienamente conforme a tutti i requisiti di GDPR, compresi la gestione, il trattamento e il trasferimento dei dati degli utenti finali. La nostra adempienza si applica a tutti i sistemi, le app e i servizi. Qualsiasi utilizzo dei dati personali è subordinato al preventivo consenso dell’utente ed è sempre soggetto alle leggi e ai regolamenti locali o regionali dell’Unione Europea e dei suoi Stati membri.
Xiaomi opera in conformità agli standard di gestione della sicurezza delle informazioni ISO/IEC 27001 e al sistema di gestione delle informazioni relative alla privacy ISO/IEC 27701. La nostra azienda ha anche ricevuto, su base annuale, la Enterprise Privacy Certification da TrustArc dal 2016. Questo assicura la migliore tutela possibile in termini di privacy e sicurezza per l’utente finale.
Infine, Xiaomi desidera sottolineare ancora una volta che è impegnata a favore della privacy e della sicurezza dei propri utenti e che opera con i più alti standard, rispettando tutte le normative locali e regionali.
