Ponsel Xiaomi Laris Manis di Pasaran, Pakar Keamanan Siber Ungkap soal Data Penjelajahan Disedot

TRIBUNBATAM.id - Borok Xiaomi ini dibongkar oleh peneliti keamanan siber yang berpengalaman Gabi Cirlig yang dilansir majalah Forbes, 30 April 2020 menjadi berita eksklusif berjudul: Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use

Cirlig mengungkapkan smartphone Redmi Note 8-nya merekam semua aktivitas ponselnya.

Data itu kemudian dikirim ke server milik raksasa teknologi China lainnya, Alibaba, yang seolah-olah disewa oleh Xiaomi.

Semua aktivitas pengguna ponselnya, termasuk situs/web yang dia kunjungi, mesin pencari yang dipakai apakah Google atau DuckDuckGo hingga situs berita yang dikunjungi terekam di default web ponsel ini.

Semua data dikemas dan dikirim ke server di Singapura dan Rusia, meskipun hosting domain web Xiaomi terdaftar di Beijing.

Pelacakan juga terjadi bahkan saat Cirlig menggunakan mode "incogtino/penyamaran" yang seharusnya pribadi.

Atas permintaan Forbes, peneliti cybersecurity Andrew Tierney menyelidiki lebih lanjut.

Tierney juga menemukan browser buatan Xiaomi di Google Play — Mi Browser Pro dan Mint Browser — mengumpulkan data yang sama.

Alhasil lebih dari 15 juta unduhan dilakukan kedua browsing ini, menurut statistik Google Play.

Xiaomi, perusahaan bernilai 50 miliar dolar AS, adalah satu dari empat pembuat smartphone teratas di dunia berdasarkan pangsa pasar, di bawah Apple, Samsung, dan Huawei.

Xiaomi menjual perangkat murah yang memiliki banyak kualitas yang sama dengan smartphone kelas atas. 
Tapi ada harga mahal yang harus dibayar pelanggan masalah keamanan privasi.

Cirlig mengaku sudah mengunduh firmware untuk ponsel Xiaomi lainnya, termasuk Xiaomi MI 10, Xiaomi Redmi K20 dan Xiaomi Mi MIX 3.

Dia mengkonfirmasi semua ponsel Xiaomi memiliki kode peramban (penjelajah web) yang sama, membuatnya curiga perangkat ini memiliki masalah keamanan privasi yang sama.

Bahkan Cirlig mengungkap fakta bahwa data yang diklaim Xiaomi sudah dienkripsi ketika ditransfer dalam upaya untuk melindungi privasi pengguna, bisa ditemukan/dikenali dengan mudah.

Cirlig dapat dengan cepat mengetahui data yang diambil dari perangkatnya dengan mendekodekan sejumlah informasi yang disembunyikan dengan bentuk encoding crackable yang mudah, dikenal sebagai base64.

Butuh beberapa detik bagi Cirlig untuk mengubah data yang kacau menjadi potongan informasi yang dapat dibaca.

"Perhatian utama saya untuk privasi adalah bahwa data yang dikirim ke server mereka dapat dengan mudah dikorelasikan dengan pengguna tertentu," kata Cirlig.

Tanggapan Xiaomi
Menanggapi temuan ini, Xiaomi mengatakan, "klaim penelitian tidak benar," dan "privasi dan keamanan menjadi perhatian utama," menambahkan bahwa "mengikuti dengan ketat dan sepenuhnya mematuhi hukum dan peraturan setempat tentang masalah privasi data pengguna."

Tapi seorang juru bicara Xiaomi mengkonfirmasi perangkatnya mengumpulkan data penelusuran penggunanya, mengklaim informasi itu dianonimkan sehingga tidak terikat dengan identitas apa pun.

Xiaomi mengatakan pengguna telah menyetujui pelacakan tersebut.

Tetapi, seperti yang ditunjukkan oleh Cirlig dan Tierney, bukan hanya situs web atau pencarian web yang dikirim ke server.

Xiaomi juga mengumpulkan data tentang ponsel, termasuk nomor unik untuk mengidentifikasi perangkat tertentu dan versi Android.

Cirlig mengatakan "metadata" seperti itu "dapat dengan mudah dikorelasikan dengan manusia yang sebenarnya di balik layar."

Juru bicara Xiaomi juga membantah perangkatnya melakukan perekaman saat pengguna dalam mode penyamaran.

Baik Cirlig dan Tierney, dalam tes independen menemukan kebiasaan web mereka dikirim ke server jauh terlepas dari mode apa browser diatur, memberikan foto dan video sebagai bukti.

Ketika Forbes memberi Xiaomi sebuah video yang dibuat oleh Cirlig yang menunjukkan bagaimana pencarian Google untuk "porno" dan kunjungan ke situs PornHub dikirim ke server jarak jauh, bahkan ketika dalam mode penyamaran, juru bicara Xiaomi menyangkal bahwa informasi itu direkam.

"Video ini menunjukkan kumpulan data penjelajahan anonim, yang merupakan salah satu solusi paling umum yang diadopsi oleh perusahaan internet untuk meningkatkan pengalaman produk browser secara keseluruhan dengan menganalisis informasi yang tidak dapat diidentifikasi secara pribadi," kata mereka.

Baik Cirlig dan Tierney mengatakan perilaku Xiaomi lebih invasif daripada browser lain seperti Google Chrome atau Apple Safari.

"Ini jauh lebih buruk daripada browser arus utama mana pun yang saya lihat," kata Tierney.

“Banyak dari mereka (browser) menggunakan analitik, bukan menggunakan dan menabraknya. Mengambil perilaku browser, termasuk URL, tanpa persetujuan eksplisit dan dalam mode penjelajahan pribadi, sama buruknya dengan yang didapat. "

Cirlig juga menduga bahwa penggunaan aplikasinya sedang dipantau Xiaomi, karena setiap kali ia membuka aplikasi, sepotong informasi akan dikirim ke server jarak jauh.

Peneliti lain yang menguji perangkat Xiaomi, dalam kondisi Non Disclosure Agreement (NDA) untuk membahas masalah ini secara terbuka, mengatakan ponsel pabrikan Xiaomi mengumpulkan data tersebut.

Xiaomi tidak menanggapi pertanyaan tentang masalah itu.

'Analisis Perilaku'
Xiaomi tampaknya memiliki alasan lain untuk mengumpulkan data: untuk lebih memahami perilaku penggunanya.

Itu menggunakan layanan dari perusahaan analisis perilaku yang disebut Sensors Analytics.

Startup China, juga dikenal sebagai Sensors Data, telah mengumpulkan dana 60 juta dolar AS sejak didirikan pada tahun 2015, terakhir mendapat dana 44 juta dolar AS dari konsorsium yang dipimpin oleh perusahaan ekuitas swasta New York Warburg Pincus, yang juga didanai Sequoia Capital China.

Seperti dijelaskan dalam Pitchbook, pelacak pendanaan perusahaan, Sensors Analytics adalah "penyedia platform analisis perilaku pengguna yang mendalam dan layanan konsultasi profesional." Alat-alatnya membantu kliennya dalam "mengeksplorasi kisah tersembunyi di balik indikator dalam mengeksplorasi perilaku utama berbagai bisnis."

Baik Cirlig dan Tierney menemukan aplikasi Xiaomi mereka mengirim data ke domain yang tampaknya merujuk pada Sensors Analytics, termasuk penggunaan berulang SA.

Saat mengklik satu domain, halaman tersebut berisi satu kalimat: "Sensor Analytics siap menerima data Anda!" Ada API yang disebut SensorDataAPI — API (antarmuka pemrograman aplikasi) sebagai perangkat lunak yang memungkinkan pihak ketiga mengakses data aplikasi.

Xiaomi juga terdaftar sebagai pelanggan di situs web Sensors Data.

Pendiri dan CEO Data Sensor, Sang Wenfeng, memiliki sejarah panjang dalam melacak pengguna.

Di raksasa internet China Baidu, ia membangun platform data besar untuk log pengguna Baidu, seperti dilansir situs perusahaan ini.

Juru bicara Xiaomi mengkonfirmasi hubungan dengan startup: "Sementara Sensors Analytics menyediakan solusi analisis data untuk Xiaomi, data anonim yang dikumpulkan disimpan di server Xiaomi sendiri dan tidak akan dibagikan dengan Sensors Analytics, atau perusahaan pihak ketiga lainnya."

Ini adalah kedua kalinya dalam dua bulan bahwa perusahaan teknologi besar Tiongkok terlihat mengawasi kebiasaan telepon pengguna.

Aplikasi keamanan dengan peramban "pribadi" yang dibuat oleh Cheetah Mobile, sebuah perusahaan publik yang terdaftar di Bursa Efek New York, terlihat mengumpulkan informasi tentang penggunaan web, nama titik akses Wi-Fi dan lebih banyak data terperinci seperti bagaimana pengguna menggulir pada saat dikunjungi Halaman web.

Cheetah berpendapat perlu mengumpulkan informasi untuk melindungi pengguna dan meningkatkan pengalaman mereka.

Di akhir penelitiannya, Cirlig juga menemukan bahwa aplikasi pemutar musik Xiaomi di teleponnya sedang mengumpulkan informasi tentang kebiasaan mendengarkannya: lagu apa yang diputar dan kapan.

Satu pesan jelas bagi peneliti: ketika Anda mendengarkan, Xiaomi juga mendengarkan.(forbes)

Artikel ini telah tayang di tribun-medan.com dengan judul Ponsel Xiaomi Laris Manis, Pakar Keamanan Siber Bongkar, Data Penjelajahan Anda Disedot dan . . ., https://medan.tribunnews.com/2020/05/03/ponsel-xiaomi-laris-manis-pakar-keamanan-siber-bongkar-data-penjelajahan-anda-disedot-dan?page=all.