Last Updated:

TERUNGKAP Xiaomi Rekam Rahasia Pengguna Ponselnya Datanya Dikirim ke Alibaba hingga Reaksi Xiaomi

Danz

Perusahaan ponsel terkemuka dunia asal China Xiaomi ternyata merekam semua aktivitas penggunanya.

Data aktivitas pengguna ponsel Xiaomi ini dikirim ke server milik raksasa teknologi China lainnya, Alibaba.

Borok Xiaomi ini dibongkar oleh peneliti keamanan siber yang berpengalaman Gabi Cirlig yang dilansir majalah Forbes, 30 April 2020 menjadi berita eksklusif berjudul: Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use “Ini adalah pintu belakang dengan fungsi telepon,” gurau Cirlig setengah bercanda tentang ponsel Xiaomi barunya.

Cirlig mengungkapkan smartphone Redmi Note 8-nya merekam semua aktivitas ponselnya.

Data itu kemudian dikirim ke server milik raksasa teknologi China lainnya, Alibaba, yang seolah-olah disewa oleh Xiaomi.

Semua aktivitas pengguna ponselnya, termasuk situs/web yang dia kunjungi, mesin pencari yang dipakai apakah Google atau DuckDuckGo hingga situs berita yang dikunjungi terekam di default web ponsel ini.

Semua data dikemas dan dikirim ke server di Singapura dan Rusia, meskipun hosting domain web Xiaomi terdaftar di Beijing.

Pelacakan juga terjadi bahkan saat Cirlig menggunakan mode “incogtino/penyamaran” yang seharusnya pribadi.

Atas permintaan Forbes, peneliti cybersecurity Andrew Tierney menyelidiki lebih lanjut.

Tierney juga menemukan browser buatan Xiaomi di Google Play — Mi Browser Pro dan Mint Browser — mengumpulkan data yang sama.

Alhasil lebih dari 15 juta unduhan dilakukan kedua browsing ini, menurut statistik Google Play.

Xiaomi, perusahaan bernilai 50 miliar dolar AS, adalah satu dari empat pembuat smartphone teratas di dunia berdasarkan pangsa pasar, di bawah Apple, Samsung, dan Huawei.

Xiaomi menjual perangkat murah yang memiliki banyak kualitas yang sama dengan smartphone kelas atas.
Tapi ada harga mahal yang harus dibayar pelanggan masalah keamanan privasi.

Cirlig mengaku sudah mengunduh firmware untuk ponsel Xiaomi lainnya, termasuk Xiaomi MI 10, Xiaomi Redmi K20 dan Xiaomi Mi MIX 3.

Dia mengkonfirmasi semua ponsel Xiaomi memiliki kode peramban (penjelajah web) yang sama, membuatnya curiga perangkat ini memiliki masalah keamanan privasi yang sama.

Bahkan Cirlig mengungkap fakta bahwa data yang diklaim Xiaomi sudah dienkripsi ketika ditransfer dalam upaya untuk melindungi privasi pengguna, bisa ditemukan/dikenali dengan mudah.

Cirlig dapat dengan cepat mengetahui data yang diambil dari perangkatnya dengan mendekodekan sejumlah informasi yang disembunyikan dengan bentuk encoding crackable yang mudah, dikenal sebagai base64.

Butuh beberapa detik bagi Cirlig untuk mengubah data yang kacau menjadi potongan informasi yang dapat dibaca.

“Perhatian utama saya untuk privasi adalah bahwa data yang dikirim ke server mereka dapat dengan mudah dikorelasikan dengan pengguna tertentu,” kata Cirlig.

Tanggapan Xiaomi
Menanggapi temuan ini, Xiaomi mengatakan, “klaim penelitian tidak benar,” dan “privasi dan keamanan menjadi perhatian utama,” menambahkan bahwa “mengikuti dengan ketat dan sepenuhnya mematuhi hukum dan peraturan setempat tentang masalah privasi data pengguna.”

Tapi seorang juru bicara Xiaomi mengkonfirmasi perangkatnya mengumpulkan data penelusuran penggunanya, mengklaim informasi itu dianonimkan sehingga tidak terikat dengan identitas apa pun.

Xiaomi mengatakan pengguna telah menyetujui pelacakan tersebut.

Tetapi, seperti yang ditunjukkan oleh Cirlig dan Tierney, bukan hanya situs web atau pencarian web yang dikirim ke server.

Xiaomi juga mengumpulkan data tentang ponsel, termasuk nomor unik untuk mengidentifikasi perangkat tertentu dan versi Android.

Cirlig mengatakan “metadata” seperti itu “dapat dengan mudah dikorelasikan dengan manusia yang sebenarnya di balik layar.”

Juru bicara Xiaomi juga membantah perangkatnya melakukan perekaman saat pengguna dalam mode penyamaran.

Baik Cirlig dan Tierney, dalam tes independen menemukan kebiasaan web mereka dikirim ke server jauh terlepas dari mode apa browser diatur, memberikan foto dan video sebagai bukti.

Ketika Forbes memberi Xiaomi sebuah video yang dibuat oleh Cirlig yang menunjukkan bagaimana pencarian Google untuk “porno” dan kunjungan ke situs PornHub dikirim ke server jarak jauh, bahkan ketika dalam mode penyamaran, juru bicara Xiaomi menyangkal bahwa informasi itu direkam.

“Video ini menunjukkan kumpulan data penjelajahan anonim, yang merupakan salah satu solusi paling umum yang diadopsi oleh perusahaan internet untuk meningkatkan pengalaman produk browser secara keseluruhan dengan menganalisis informasi yang tidak dapat diidentifikasi secara pribadi,” kata mereka.

Baik Cirlig dan Tierney mengatakan perilaku Xiaomi lebih invasif daripada browser lain seperti Google Chrome atau Apple Safari.

Sumber : Tribun News

Comments