Xiaomi accepteert dat het gebruikersgegevens verzamelt bij het gebruik van zowel web- als telefoonapps, maar verduidelijkt dat het de privacy van gebruikers beschermt door alles te anonimiseren en te versleutelen
Xiaomi-smartphones hebben uitgebreid gebruikersgegevens verzameld. Bovendien wordt alles gevolgd en verzonden naar servers die worden gehost door Alibaba in Singapore en Rusland. Xiaomi huurt deze servers en heeft er volledige toegang toe. Nadat dergelijke rapporten opdoken en een brede verspreiding kregen op de belangrijkste markten van Xiaomi, heeft de Chinese smartphonegigant een verklaring uitgegeven waarin wordt geprobeerd te verduidelijken waarom en hoe de verzamelde gegevens worden gebruikt.
Van Xiaomi's smartphones, ongeacht het submerk, is waargenomen dat ze enorme hoeveelheden gebruikersgegevens verzamelen. Interessant is dat Xiaomi de beweringen niet heeft weerlegd en heeft geaccepteerd dat zijn Android-smartphones inderdaad gebruikersgegevens en informatie verzamelen. Via een blogpost op de officiële Xiaomi-blog heeft het bedrijf echter een gedetailleerde uitleg gegeven over de methoden, verwerkingstechnieken en het gebruik van de gegevens die naar de servers stromen waartoe Xiaomi volledige toegang heeft.
Xiaomi verzamelt en oogst gebruikersgegevens, maar anonimiseert hetzelfde voor analyse en serviceverbetering?
Beveiligingsonderzoeker Gabi Cirlig maakte een nogal verontrustende bewering dat het apparaat van het Xiaomi-merk dat hij gebruikte, gebruiksgewoonten had bijgehouden en dat alle gegevens naar verluidt werden verzonden naar servers die worden gehost door Alibaba in Singapore en Rusland die zijn gehuurd door Xiaomi. De hoeveelheid, frequentie en omvang van de gegevens die Xiaomi verzamelde, waren zelfs nog zorgwekkender.
Volgens Cirlig omvatten de verzamelde gegevens mappen die hij op zijn telefoon opende, de schermen waarnaar hij veegde, inclusief de statusbalk en het instellingenmenu. Xiaomi hield zelfs bij naar welke muziek Cirlig luisterde met de standaardmuziekspeler op zijn Redmi-telefoon. De beveiligingsonderzoeker beweerde ook dat wanneer hij op internet surfte met de standaardbrowser-app van Xiaomi, het een register bijhield van alle websites die hij bezocht, zoekopdrachten van zoekmachines en de items die in de nieuwsfeed van de browser werden bekeken.
Dit lijkt overigens geen op zichzelf staand incident. Een andere beveiligingsonderzoeker Andrew Tierney ontdekte hetzelfde gedrag in Mi Browser Pro en Mint Browser van Xiaomi. Beide browsers zijn beschikbaar als gratis te downloaden en te gebruiken in de Google Play Store van Android.
De praktijken voor het verzamelen van gebruikersgegevens van grote technologie-, sociale-media- en smartphonebedrijven zijn algemeen bekend. De beveiligingsonderzoekers voegden echter de omvang van het gegevensverzamelingsbeleid toe. Cirlig beweerde dat de invasieve gegevensverzameling van Xiaomi werd voortgezet, zelfs wanneer de incognitomodus in de browser werd gebruikt.
Xiaomi heeft in zijn officiële blog beweerd dat het de gegevens grondig versleutelt. Cirlig beweerde echter dat hij er gemakkelijk leesbare informatie uit kon ontcijferen en vinden. Interessant is dat er een video is die naar verluidt onthult hoe de gegevens worden blootgesteld.
Maakt Xiaomi misbruik van gebruikersgegevens die het oogst?
Xiaomi heeft officieel geaccepteerd dat zijn Android-smartphones gebruikersgegevens verzamelen. Het bedrijf heeft echter benadrukt dat alles nodig is relevante en noodzakelijke voorzorgsmaatregelen om de privacy van de gebruiker te waarborgen. Het bedrijf voegde eraan toe dat de gegevens de identiteit van de gebruiker niet onthullen of de feitelijke gegevens in geen enkel stadium aan de gebruiker koppelen. Bovendien voegde Xiaomi eraan toe dat het de gegevens verzamelt, opslaat en verwerkt volgens "Industriestandaarden", waaronder het anonimiseren en versleutelen van de gebruikersgegevens in alle stadia.
In zijn blogpost, gehost op de officiële Mi-website, heeft Xiaomi geprobeerd uit te leggen hoe het de gegevens verzamelt, opslaat, verwerkt en analyseert. Helemaal aan het begin verduidelijkt Xiaomi dat het gebruikersgegevens verzamelt "om de best mogelijke gebruikerservaring te bieden, de compatibiliteit tussen het besturingssysteem en verschillende apps te vergroten." Het bedrijf voegde eraan toe dat het relevante machtigingen en toestemming van de gebruiker beveiligt voordat gegevens worden verzameld. Met andere woorden, Xiaomi beweert dat alle beleidsregels voor gegevensverzameling zijn toegestaan door de eindgebruikers zelf.
In de branche zijn er twee soorten gegevens die de servers van Xiaomi verzamelen. Gegevens zoals systeeminformatie, voorkeuren, gebruik van gebruikersinterfacefuncties, reactievermogen, prestaties, geheugengebruik en crashrapporten worden samengevoegd en geanonimiseerd. Dit zorgt ervoor dat apps van derden, ontwikkelaars of makers van kwaadaardige software de gegevens niet kunnen koppelen aan individuele gebruikers, zelfs als ze er op de een of andere manier toegang toe hebben. Het tweede type gegevens betreft de browsegegevens van de individuele gebruiker (geschiedenis) die de gebruiker aan een Mi-account koppelt. Ook dergelijke gegevens worden verzameld en opgeslagen met behulp van veilige encryptiepraktijken, verzekerde Xiaomi.
Wat betreft toegang, beweerde Xiaomi dat het vier certificeringen heeft verkregen die de beveiligings- en privacypraktijken van Xiaomi's smartphone en de standaardapps volgen. Dit zijn ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 en TRUSTe.
Xiaomi werkt samen met de Chinese startup Sensors Analytics. Het bedrijf beweert "een diepgaand platform voor analyse van gebruikersgedrag en professionele adviesdiensten" te bieden. Xiaomi heeft bevestigd dat het met het bedrijf werkt. Het bedrijf beweerde echter dat alle verzamelde gegevens op zijn eigen servers worden opgeslagen en niet worden gedeeld met een derde partij.