Trong một trao đổi với nhà nghiên cứu bảo mật Cirlig với trang Forbes, chiếc Redmi Note 8 thu thập nhiều thông tin khi anh ta sử dụng nó khiến cho người dùng bất ngờ.
Theo Cirlig, trình duyệt web mặc định của Xiaomi ghi lại toàn bộ dữ liệu duyệt web kể cả khi mở chế độ ẩn danh. Những thông tin này sau đó được gởi về các server ở Singapore và Nga thông qua domain website được đăng ký ở Bắc Kinh.
Cirlig cho rằng không chỉ riêng Redmi Note 8 mà còn nhiều thiết bị khác của Xiaomi cũng sẽ theo dõi người dùng nên quyết định tải về firmware của các dòng máy Xiaomi MI 10, Xiaomi Redmi K20 and Xiaomi Mi MIX 3 để tiến hành kiểm tra.
Kết quả cho thấy chúng đều có chứa đoạn code để chuyển khai thác hành vi người dùng từ trình duyệt web.
Điều đáng nói là thông tin khi chuyển về các server đều được mã hóa với phương thức base64 nên rất dễ bị đánh cắp. Chỉ với vài giây, Cirlig có thể chuyển thông tin mã hóa này thành dạng dữ liệu thông thường mà bất kỳ người dùng nào cũng có thể đọc được.
Trang Forbes đã yêu cầu nhà nghiên cứu an ninh mạng Andrew Tierney vào cuộc để điều tra sâu hơn vụ việc.
Andrew Tierney đã phát hiện ứng dụng trình duyệt Mi Browser Pro và Mint Browser của Xiaomi cũng thu thập thông tin người dùng. Tính đến thời điểm hiện tại, tổng cộng chúng đã đạt trên 15 triệu lượt tải từ cửa hàng Google Play.
Công ty Xiaomi cho biết các tuyên bố trong nghiên cứu là không đúng sự thật và bảo mật thông tin luôn được đặt lên hàng đầu. Họ cho biết luôn tuân thủ nghiêm ngặt và đầy đủ luật pháp và quy định của địa phương về vấn đề bảo mật dữ liệu người dùng.
Tuy nhiên, phát ngôn viên đã xác nhận rằng họ đang thu thập dữ liệu duyệt web, thông tin này được ẩn danh và được người dùng đồng ý.
Người phát ngôn của Xiaomi cũng phủ định việc ghi lại dữ liệu duyệt web ở chế độ ẩn danh. Khi trang Forbes đưa ra bằng chứng là đoạn video của Cirlig cho thấy việc tìm kiếm và truy cập web trong chế độ ẩn danh đã bị gởi về server nước ngoài, phát ngôn viên này vẫn phủ nhận.
"Video của Forbes cho thấy việc thu thập dữ liệu duyệt web ẩn danh là một trong những giải pháp phổ biến nhất mà các công ty Internet áp dụng để cải thiện trải nghiệm một sản phẩm trình duyệt, thông qua các phân tích thông tin mà không cần biết rõ về cá nhân sử dụng", theo người phát ngôn của Xiaomi cho biết.
Cả Cirlig và Tierney đều cho biết hành vi của Xiaomi là xâm lấn hơn các trình duyệt khác như Google Chrome hay Apple Safari.
Đa số các trình duyệt sẽ thu thập thông tin về lưu lượng sử dụng và các lỗi xảy ra trong quá trình sử dụng. Các trình duyệt của Xiaomi lại lấy cả hành vi duyệt web và đường dẫn URL đã truy cập thì rõ ràng là đều bất thường, theo chia sẻ của Tierney.
Các nhà nghiên cứu cũng phát hiện ra rằng, các trình duyệt của Xiaomi đang hướng các tên miền truy cập đến Sensors Analytics, một start-up tại Trung Quốc hay còn được gọi là Sensors Data. Đây là một công ty chuyên cung cấp dịch vụ phân tích hành vi của người dùng.
Trong trình duyệt cũng chứa một API đáng ngờ mang tên SensorDataAPI và thậm chí Xiaomi cũng được liệt kê là một khách hàng trên trang của Sensor Data.
Phát ngôn viên của công ty đã xác nhận mối quan hệ với Sensors Analytics đồng thời nhấn mạnh tất cả dữ liệu được thu thập sẽ được lưu trữ trên máy chủ riêng và không chia sẻ với bất kỳ ai.
Xiaomi dường như đang thu thập thông tin chỉ để hiểu rõ hơn hành vi của người dùng vì các nhà nghiên cứu vẫn chưa chỉ ra các thông tin này bị khai thác để tấn công các Mifan.