Ponsel Xiaomi Laris Manis di Pasaran, Pakar Keamanan Siber Ungkap soal Data Penjelajahan Disedot
Data itu kemudian dikirim ke server milik raksasa teknologi China lainnya, Alibaba, yang seolah-olah disewa oleh Xiaomi.
lihat foto
TRIBUNBATAM.id - Borok Xiaomi ini dibongkar oleh peneliti keamanan siber yang berpengalaman Gabi Cirlig yang dilansir majalah Forbes, 30 April 2020 menjadi berita eksklusif berjudul: Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use
Cirlig mengungkapkan smartphone Redmi Note 8-nya merekam semua aktivitas ponselnya.
Data itu kemudian dikirim ke server milik raksasa teknologi China lainnya, Alibaba, yang seolah-olah disewa oleh Xiaomi.
Semua aktivitas pengguna ponselnya, termasuk situs/web yang dia kunjungi, mesin pencari yang dipakai apakah Google atau DuckDuckGo hingga situs berita yang dikunjungi terekam di default web ponsel ini.
Semua data dikemas dan dikirim ke server di Singapura dan Rusia, meskipun hosting domain web Xiaomi terdaftar di Beijing.
Pelacakan juga terjadi bahkan saat Cirlig menggunakan mode "incogtino/penyamaran" yang seharusnya pribadi.
Atas permintaan Forbes, peneliti cybersecurity Andrew Tierney menyelidiki lebih lanjut.
Tierney juga menemukan browser buatan Xiaomi di Google Play — Mi Browser Pro dan Mint Browser — mengumpulkan data yang sama.
Alhasil lebih dari 15 juta unduhan dilakukan kedua browsing ini, menurut statistik Google Play.
Xiaomi, perusahaan bernilai 50 miliar dolar AS, adalah satu dari empat pembuat smartphone teratas di dunia berdasarkan pangsa pasar, di bawah Apple, Samsung, dan Huawei.
Xiaomi menjual perangkat murah yang memiliki banyak kualitas yang sama dengan smartphone kelas atas.
Tapi ada harga mahal yang harus dibayar pelanggan masalah keamanan privasi.
Cirlig mengaku sudah mengunduh firmware untuk ponsel Xiaomi lainnya, termasuk Xiaomi MI 10, Xiaomi Redmi K20 dan Xiaomi Mi MIX 3.
Dia mengkonfirmasi semua ponsel Xiaomi memiliki kode peramban (penjelajah web) yang sama, membuatnya curiga perangkat ini memiliki masalah keamanan privasi yang sama.
Bahkan Cirlig mengungkap fakta bahwa data yang diklaim Xiaomi sudah dienkripsi ketika ditransfer dalam upaya untuk melindungi privasi pengguna, bisa ditemukan/dikenali dengan mudah.
Cirlig dapat dengan cepat mengetahui data yang diambil dari perangkatnya dengan mendekodekan sejumlah informasi yang disembunyikan dengan bentuk encoding crackable yang mudah, dikenal sebagai base64.
Butuh beberapa detik bagi Cirlig untuk mengubah data yang kacau menjadi potongan informasi yang dapat dibaca.
