Pada 30 April 2020, media Forbes melaporkan penemuan seorang penyelidik bernama Gabriel Cirlig yang menemui bukti bahawa telefon miliknya, berjenama Xiaomi Redmi Note 8 setiap masa menyelia dan merekodkan semua tabiat penggunaannya.

Seorang pakar sekuriti siber, siasatan Cirlig lebih mendalam mendapati semua data yang dikumpul, akan dihantar kepada sebuah pelayan milik syarikat Alibaba yang dipercayai disewa Xiaomi.

BESARKAN TEKS     A-  A+

Peranti miliknya bukan saja merekodkan tabiat melayari laman web, malahan turut sama merekodkan apa fail yang dibuka, skrin mana dia selalu kunjungi serta alamat-alamat laman web yang diakses ketika menggunakan mod 'incognito'; mod di mana rekod atau informasi pengguna sepatutnya tidak direkodkan.

Kepada mereka yang selalu menggunakan mod 'incognito' pada telefon jenama Xiaomi; ya, aktiviti anda sedang diperhatikan. Jangan rasa anda selamat melayari laman-laman web tertentu ya!

Isu ini sudah diakui sendiri Xiaomi pada 4 Mei 2020.

Pendedahan terhadap aktiviti Xiaomi menipu pengguna

xiaomi telefon pelayar browser internet data

Bagi membantu memperkukuhkan pendedahan Cirlig, Forbes meminta seorang lagi pakar sekuriti bernama Andrew Tierney menyiasat dengan lebih mendalam dakwaan Cirlig.

Hasil kajian Tierney mendapati selain daripada pelayar internet terbina dalam telefon jenama Xiaomi, mana-mana individu yang memuat turun aplikasi Mi Browser Pro dan Mint Browser daripada stor Google Play turut sama berdepan isu serupa.

Ini bermakna isu ini bukan sahaja melibatkan telefon jenama Xiaomi, sebaliknya turut sama mampu melibatkan mana-mana peranti Android lain.

Data-data yang telah dikumpul dan disimpan pada setiap telefon dalam bentuk terkunci (encrypted) akan dihantar kepada pelayar yang telah ditetapkan. Isunya di sini, walaupun Xiaomi cuba mengunci data-data yang disalurkan, didapati semua maklumat yang ada mudah untuk diterjemahkan ke dalam kod asal tanpa sebarang kecacatan.

Kod asalnya menyimpan semua data tabiat penggunaan pengguna, termasuklah kata carian yang tidak sepatutnya direkod dan dihantar kembali kepada Xiaomi, melalui pelayan yang beroperasi di Russia dan Singapura.

Reaksi Xiaomi atas kontroversi ini

os android antaramuka miui

Bimbang dengan reaksi pengguna terhadap laporan terbaru itu, Xiaomi mengambil pendekatan jelas serampang dua mata; menafikan tuduhan tetapi dalam masa yang sama mengakui pengumpulan data benar berlaku. Handal taktik ini.

Jurucakap Xiaomi mengakui dakwaan yang didakwa ke atas mereka tidak berasas kerana semua pengumpulan data dilakukan berdasarkan kepada undang-undang hak pengguna antarabangsa. Bagi data yang direkodkan, mereka telah pun mendapat kebenaran daripada pihak pengguna terlebih dahulu.

Selain itu Xiaomi juga dilaporkan berkata mereka mengumpul data alamat laman web yang diakses pengguna bagi membolehkan mereka lebih memahami sifat laman-laman web,  serta cara untuk mereka melakukan proses optimasi bagi mempercepatkan proses capaian pengguna kepada laman web, berbanding biasa.

Walaupun begitu, Cirlig dan Tierney berpendapat Xiaomi gagal memperjelaskan tentang isu utama yang mereka bangkitkan; kenapa Xiaomi masih mengumpul data dalam situasi di mana pengguna tidak membenarkan data direkodkan - khasnya dalam mod 'incognito' pada pelayar?

Adakah pengguna diberitahu semua aktiviti mereka melayari laman web dalam mod tersebut, turut sama direkodkan atau dilakukan tanpa pengetahuan pengguna?

Xiaomi cuba mengelak daripada terus ditekan

xiaomi leijun ceo

Beberapa demonstrasi dalam bentuk video yang dimuatnaik berjaya membuktikan Xiaomi tetap melakukan aktiviti merekod dan menyimpan data pengguna,dalam situasi di mana pengguna tidak membenarkan tabiatnya direkod. Bukti ini gagal dijawab dengan kemas oleh Xiaomi.

Menurut Cirlig dan Tierney, kebanyakan pelayar internet popular seperti Chrome dan Safari tidak merekodkan data pengguna sebanyak apa yang disimpan pelayar kendalian Xiaomi. Pelayar Xiaomi merekodkan alamat laman web dalam mod privasi dan itu jelas satu bentuk pelanggaran undang-undang yang ketara.

Cirlig juga mendapati aktiviti pembukaan aplikasi turut sama direkodkan oleh Xiaomi dalam data mereka. Data berkenaan aplikasi yang kerap dibuka juga dihantar kepada pelayar-pelayar luar, tanpa diketahui untuk tujuan apa.

Kajian lebih lanjut dijalankan Cirlig dan Tierney akhirnya menemui jawapan ke mana hala tuju data pengguna Xiaomi perlu direkodkan dan dihantar kembali kepada pengeluarnya.

Peranan syarikat 'data besar'

encrypted data perpindahan

Dalam data-data yang dihantar oleh peranti Xiaomi kembali kepada syarikat itu, Cirlig dan Tierney menemui banyak kali pengulangan akronim 'SA.'

Kajian ke dalam fail yang ada menemui kod domain yang membawa kepada satu laman web milik syarikat Sensor Analytics - sebuah syarikat data besar (big data) yang bekerjasama dengan Xiaomi.

Ditubuhkan oleh Sang Wenfeng, seorang pakar data besar yang pernah satu ketika dulu membangunkan sistem pengumpulan data untuk enjin carian gergasi China, Baidu; Sensor Analytics merupakan sebuah syarikat bertaraf 'startup' yang baru ditubuhkan pada tahun 2015.

Sensor Aanalytics telah dilantik untuk melakukan analisis ke atas data-data yang dikumpulkan oleh Xiaomi, namun dalam masa yang sama Xiaomi menafikan dakwaan pihak ketiga mempunyai akses terus ke atas data pengguna yang mereka kumpulkan.

Celaru sekali penjelasan Xiaomi. Tetapi itu bukan yang paling mengelirukan!

Xiaomi tidak rasmi 'mengakui' apa yang berlaku

bangunan pejabat mi

Selepas dihentam teruk banyak pihak, Xiaomi yang pada mulanya memilih untuk memutar belitkan serta menyalahkan pihak pengguna yang kononnya sudah memberikan kebenaran, akhirnya mengumumkan mereka akan mengemaskini semua pelayar internet kendalian mereka pada 4 Mei 2020.

Semua pengguna yang terkesanselama ini kini akan diberikan pilihan sama ada mahu membenarkan pengumpulan data dilakukan dalam mod 'incognito' atau tidak.

Secara tak langsung sebenarnya, Xiaomi mengakui dakwaan yang telah pun dikeluarkan oleh Cirlig dan Tierney memang ada kebenarannya; di mana mereka senyap-senyap mengumpulkan data, tanpa mendapat kebenaran penuh daripada pengguna pelayar dan telefon jenama mereka.

Kami tidak pasti adakah jaminan dan kerjasama yang diberikan oleh Xiaomi ini memadai untuk mengembalikan keyakinan pengguna terhadap mereka. Apa yang pasti, reaksi Xiaomi terhadap dakwaan ini sendiri nyata berbeza-beza.

Xiaomi di China memilih untuk mengakui perkara itu berlaku tetapi meletakkan beban kesalahan ke atas pengguna yang telah bersetuju (tanpa sedar).

Sementara jurucakap Xiaomi di India di mana jenama itu merupakan antara jenama paling popular, memilih untuk menafikan terus dakwaan Cirlig, Tierney dan Forbes sebagai satu tuduhan jahat serta berita palsu.

Setakat ini laman rasmi Twitter milik Xiaomi India belum melakukan apa-apa kenyataan baru dalam isu ini, selepas perkara ini disahkan sendiri oleh Xiaomi di China.

Rujukan

Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use




Hakcipta iluminasi.com (2017)