Điện thoại thông minh Xiaomi có giá bán khá tốt trên thị trường nếu so sánh về phần cứng với các nhà sản xuất smartphone khác. Ngoài ra hãng còn hỗ trợ nhu cầu của cộng đồng nhà phát triển (developer) như cho phép mở khoá bootloader (không mất bảo hành), kernel được open-source,…
Tuy nhiên, các báo cáo gần đây từ các nhà nghiên cứu bảo mật đang nhắm đến một vấn đề về quyền riêng tư đáng lo ngại đối với các trình duyệt web mặc định trên thiết bị của Xiaomi. Trong báo cáo được đăng trên trang Forbes, các nhà nghiên cứu đã kết luận trong một báo cáo rằng các trình duyệt web của Xiaomi (nhiều phiên bản khác nhau) đang gửi dữ liệu đến các máy chủ của Xiaomi.
Các dữ liệu được gửi bao gồm lịch sử tất cả các trang web được truy cập (địa chỉ web, các truy vấn của công cụ tìm kiếm) và tất cả các mục được xem trên phần hiển thị tin tức (newsfeed) của Xiaomi, kèm theo đó là metadata của thiết bị (tạm dịch là thông tin để định danh thiết bị).
Điều thậm chí còn đáng lo ngại hơn là có vẻ như việc thu thập dữ liệu này được thực hiện ngay cả khi bạn đang duyệt web ở chế độ ẩn danh.
Sự việc này diễn ra ở trình duyệt được cài đặt sẵn trên thiết bị Xiaomi cũng như hai trình duyệt Mi Browser Pro và Mint Browser, cả hai đều có sẵn để tải xuống thông qua Google Play Store. Hiện tại các trình duyệt này có hơn 15 triệu lượt tải xuống trên Play Store, trong khi trình duyệt mặc định được tải sẵn trên tất cả các thiết bị Xiaomi.
Các thiết bị được thử nghiệm bao gồm Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 và Xiaomi Mi Mix 3. Không có sự khác biệt giữa điện thoại chạy Android One của Xiaomi hoặc các thiết bị cài đặt MIUI, tất cả trình duyệt hoạt động như nhau.
Như vậy, vấn đề này dường như không phải liên quan đến “khung nền” MIUI mà nó phụ thuộc vào việc bạn có sử dụng bất kỳ trình duyệt nào trong ba trình duyệt này trên thiết bị của mình hay không. Các trình duyệt khác, như Google Chrome và Apple Safari thu thập dữ liệu ít hơn nhiều.
Trong phản hồi đầu tiên, Xiaomi đã cho biết dữ liệu duyệt web mà họ đang thu thập hoàn toàn tuân thủ luật pháp và quy định về các vấn đề riêng tư dữ liệu của người dùng. Các thông tin thu thập được người dùng đồng ý và ẩn danh. “Các tuyên bố nghiên cứu là không đúng sự thật. Quyền riêng tư và bảo mật là mối quan tâm hàng đầu” – Xiaomi cho biết.
Tuy nhiên ngay sau đó, các nhà nghiên cứu cho biết tuyên bố dữ liệu ẩn danh này là đáng ngờ. Dữ liệu mà Xiaomi đang gửi được cho là đã được mã hóa, nhưng nó được mã hóa Base64 có thể dễ dàng giải mã. Vì dữ liệu duyệt web có thể được giải mã và dữ liệu được thu thập cũng chứa metadata của thiết bị, nên trên nguyên tắc chúng không ẩn danh.
Hơn nữa, các nhà nghiên cứu phát hiện ra rằng các trình duyệt Xiaomi đang đưa ra các tên miền liên quan đến Sensors Analytics, một công ty khởi nghiệp Trung Quốc còn được gọi là Sensors Data, được biết đến với việc cung cấp các dịch vụ phân tích hành vi. Các trình duyệt cũng chứa một API có tên là SensorDataAPI. Thậm chí Xiaomi cũng được liệt kê là khách hàng trên trang web của Sensors Data .
Xiaomi nhanh chóng trả lời báo cáo từ Forbes: “Mặc dù Sensors Analytics cung cấp giải pháp phân tích dữ liệu cho Xiaomi, dữ liệu ẩn danh được thu thập được lưu trữ trên máy chủ của Xiaomi và sẽ không được chia sẻ với Sensors Analytics hoặc bất kỳ công ty bên thứ ba nào khác”.
Các nhà nghiên cứu đã phản ứng lại Xiaomi với bằng chứng rõ ràng hơn về hoạt động thu thập dữ liệu của họ.
Các nhà nghiên cứu đã phản ứng chống lại sự phủ nhận của Xiaomi với bằng chứng rõ ràng hơn về hoạt động thu thập dữ liệu của họ bằng một status trên Twitter như bên dưới:
Here’s the request being made.
As a curl command on pastebin.https://t.co/44pCpBtQzD pic.twitter.com/Uj2bZZH5Pl
— Cybergibbons (@cybergibbons) April 30, 2020
Như bạn thấy thì sau khi thông tin được giải mã, dữ liệu truyền về máy chủ Xiaomi bao gồm rất nhiều thông tin nhạy cảm, thậm chí cả từ khoá tìm kiếm được thực hiện.
Cập nhật phản hồi của Xiaomi trong một bài đăng trên blog chính thức của Xiaomi
Trong một bài đăng trên blog chính thức Mi.com, Xiaomi đã bác bỏ mạnh mẽ các cáo buộc rằng họ đang vi phạm quyền riêng tư của người dùng.
Xiaomi đã thất vọng khi đọc bài báo gần đây của Forbes. Chúng tôi cảm thấy họ đã hiểu sai những gì chúng tôi truyền đạt liên quan đến các nguyên tắc và chính sách bảo mật dữ liệu của chúng tôi.
Quyền riêng tư và bảo mật internet của người dùng của chúng tôi là ưu tiên hàng đầu tại Xiaomi; chúng tôi tự tin rằng chúng tôi tuân thủ nghiêm ngặt và tuân thủ đầy đủ luật pháp và quy định của địa phương. Chúng tôi đã liên hệ với Forbes để cung cấp sự rõ ràng về việc giải thích sai lầm đáng tiếc này.
Công ty xác nhận rằng họ thu thập dữ liệu thống kê sử dụng tổng hợp bao gồm thông tin hệ thống, sở thích, giao diện người dùng, báo cáo sự cố và ít thông tin khác. Hãng tuyên bố rằng thông tin này không thể được sử dụng một mình để xác định bất kỳ cá nhân nào. Họ xác nhận rằng họ có thu thập các địa chỉ web, nhưng điều này được thực hiện để xác định các trang web tải chậm, vì vậy họ có thể tìm ra cách cải thiện hiệu suất duyệt web tốt nhất.
Tiếp theo, công ty tuyên bố rằng lịch sử dữ liệu duyệt web cá nhân được đồng bộ hóa, nhưng điều này chỉ được thực hiện khi người dùng đã đăng nhập trên Mi Account, và chức năng đồng bộ hóa dữ liệu được đặt thành ‘Bật’ trong Cài đặt. Họ phủ nhận rằng dữ liệu duyệt web, ngoài dữ liệu thống kê sử dụng tổng hợp đã nói ở trên, đang được đồng bộ hóa khi người dùng đã bật chế độ ẩn danh.
Xiaomi sau đó đã công bố ảnh chụp màn hình các đoạn mã từ một trong các ứng dụng trình duyệt của họ (không nói rõ trình duyệt nào) mà họ tuyên bố chứng minh quan điểm của họ.
Trong đoạn mã đầu tiên, theo Xiaomi, cho thấy một phương pháp dịch ngược cho phương thức họ tạo ra các mã thông báo duy nhất được tạo ngẫu nhiên để nối vào thống kê tổng hợp sử dụng. Họ tuyên bố rằng những mã thông báo này không tương ứng với bất kỳ cá nhân nào.
Đoạn mã tiếp theo dường như là từ mã nguồn của trình duyệt và hiển thị một phương thức cho cách thức mà Trình duyệt Mi hoạt động ở chế độ ẩn danh, nơi không có dữ liệu duyệt web của người dùng sẽ được đồng bộ hóa.
Đoạn mã thứ ba chứng minh rằng số liệu thống kê sử dụng tổng hợp mà Xiaomi thu thập được là được lưu trữ trên tên miền của Xiaomi.
Cuối cùng, hình ảnh thứ tư cho thấy dữ liệu thống kê sử dụng được truyền với giao thức HTTPS của TLS 1.2.
Để phủ nhận tất cả, Xiaomi sau đó trích dẫn 4 chứng nhận mà phần mềm của họ đã nhận được từ TrustArc và Tổ chức Tiêu chuẩn Anh (BSI). Các chứng nhận này bao gồm ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 và TRUSTe.
Trả lời bài đăng trên blog này, nhà nghiên cứu an ninh mạng Andrew Tierney đã lên Twitter để bác bỏ tuyên bố của Xiaomi. Anh ta tuyên bố rằng anh ta và một số người khác đã xác nhận lại các phát hiện trên nhiều thiết bị.
Ông tuyên bố rằng mã mà Xiaomi công bố không chứng minh rằng các mã thông báo duy nhất được tạo ngẫu nhiên của họ không thể tương quan với các cá nhân. Các nhà nghiên cứu lưu ý rằng UUID dường như vẫn tồn tại trong các phiên duyệt web và chỉ thay đổi khi trình duyệt được cài đặt lại.
Việc Xiaomi chỉ lưu trữ dữ liệu trên máy chủ của họ hay ở nơi khác cũng không phải là điểm gây tranh cãi cho nhà nghiên cứu. Ngoài ra, nhà nghiên cứu nói rằng họ không nói là Xiaomi gửi dữ liệu đến các máy chủ từ xa thông qua các phương thức không an toàn (mà Xiaomi đã chứng minh ở bức ảnh số 4). Tierney lưu ý rằng vấn đề hiện tại là chính dữ liệu đang được gửi nó có nội dung không an toàn cho cá nhân.
Dù gì thì có thể thấy Xiaomi đang trực tiếp giải quyết những cáo buộc này, nhưng có vẻ lời giải thích không làm hài lòng các nhà nghiên cứu vào thời điểm này.
Tham khảo: XDA-Developers, Forbes