Xiaomi zou browserdata van zijn gebruikers verzamelen op servers in China en Rusland, zo is gebleken uit een rapportage van Forbes. Twee onafhankelijke onderzoekers bevestigde de dataverzameling door de fabrikant. Xiaomi ontkent en zegt te ‘voldoen aan alle (lokale) wetgeving’.

Dataverzameling

Xiaomi zou verschillende data verzamelen, aldus de rapportage van Forbes. Het zou gaan om sites die door de gebruiker worden bezocht, zoekopdrachten in zoekmachines (zoals Google, evenals het privacygerichte DuckDuckGo). Verder slaat Xiaomi data op over de bekeken items in de Xiaomi Feed, de mappen (op de telefoon) die de gebruiker opent, welke instellingen zijn gewijzigd, en de muziek die is afgespeeld via de geïntegreerde muziekapplicatie van Xiaomi. Wat opvalt is dat deze data via browserapplicaties wordt verzameld, aldus beveiligingsonderzoeker Gabriel Cirlig van WhiteOps.

Onder andere de standaardbrowser op Xiaomi-telefoons - maar ook de Mint Browser, evenals de Mi Browser Pro - verzamelen de grote hoeveelheden gebruikersdata. Xiaomi slaat de browserdata op in servers van Alibaba in China en Rusland, aldus de beveiligingsonderzoeker. Voor de onderzoeken is Cirlig aan de slag gegaan met zijn Redmi Note 8. Een nadere inspectie in installatiebestanden voor de Mi 10, Mi 9T (Pro) en Mi Mix 3, bewijst dat het beveiligingslek op meerdere toestellen aanwezig is. Een onafhankelijke onderzoeker, Andrew Tierney, bevestigde de resultaten van Gabriel Cirlig.

Lokale wetgeving

Xiaomi heeft in een reactie tegenover Forbes laten weten ‘zich niet te kunnen vinden in resultaten van de onderzoekers’. Het bedrijf geeft weliswaar toe dat ze gebruikersdata verzamelen, maar zegt alle ‘data te anonimiseren, waardoor het niet te herleiden is tot personen’. Daarnaast verzamelt het pas gegevens als ‘gebruikers daar toestemming voor geven’. Tot slot laat Xiaomi weten dat het aan ‘lokale wetgeving en regulaties’ voldoet. Onderzoekers zijn het niet eens met de reactie van Xiaomi, de data is immers niet zo geanonimiseerd als het bedrijf aangeeft.

Bij het verzamelen van browserdata, verzamelt Xiaomi tevens metadata - daardoor zijn deze gegevens tot personen te herleiden. Verder is de gebruikersdata slecht beveiligd; ondanks de codering met het base64-protocol, was het voor Gabriel Cirlig gemakkelijk om de gegevens in te zien. Wat opvalt is dat Xiaomi zelfs in de incognito-modus de dataverzameling doorzet. Hoewel een incognito-modus niet per se betekent dat er geen data wordt verzameld, is het interessant om te zien dat Xiaomi dataverzameling in de incognitomodus ontkent, terwijl er wel degelijk data verzameld wordt.