Phát hiện thêm một smartphone Xiaomi đánh cắp dữ liệu người dùng

  Mới đây nhất, hãng bảo mật F-Secure của Phần Lan sau khi thử nghiệm Redmi 1S cũng đưa ra kết luận tương tự trường hợp Redmi Note. Ban đầu, hãng không cấu hình tài khoản lưu trữ đám mây Mi Cloud và chỉ đơn giản lắp SIM vào máy, kết nối Wi-Fi, bật GPS, thêm số liên lạc, nghe/gọi điện thoại và trao đổi tin nhắn. Công ty phát hiện tên nhà mạng, số liên lạc và tin nhắn SMS đều được chuyển tiếp (forward) đến máy chủ api.account.xiaomi.com.

Sau đó, F-Secure đăng nhập Mi Cloud, lặp lại các bước ở trên. Lần này, chi tiết IMSI, số IMEI, số điện thoại được gửi tới địa chỉ như trên, api.account.xiaomi.com.

Trước đó, Phó Chủ tịch Xiaomi Hugo Barra đăng bài hỏi đáp trên tài khoản Google+ làm rõ việc MIUI, giao diện trên điện thoại Xiaomi, không bí mật tải ảnh và tin nhắn như thông tin trên mạng. Ông viết dữ liệu cá nhân chỉ được sao lưu khi bật Mi Cloud. Nhưng có sự mâu thuận giữa chính sách riêng tư của công ty và bài đăng của ông Barra.

Trong tài liệu  Privacy Policy , Xiaomi viết: “Khi dùng và kích hoạt thiết bị Xiaomi lần đầu, thông tin xác thực, mã xác thực độc nhất và thông tin địa điểm của máy được gửi cho Xiaomi. Tập hợp thông tin này được dùng cho các cập nhật phần mềm hoặc hệ thống, khôi phục cài đặt gốc hoặc các trường hợp tương tự”. Ngoài ra, “khi dùng sản phẩm Xiaomi để chia sẻ thông tin với gia đình, bạn bè, gửi tin nhắn và sản phẩm hoặc mời người khác thông qua Xiaomi BBS, chúng tôi (Xiaomi) sẽ thu thập thông tin bạn cung cấp, có liên quan đến người đó như tên, địa chỉ email, số điện thoại”. Như vậy, Xiaomi đang lấy dữ liệu từ người dùng khi không được phép ngay cả khi họ không đăng ký Mi Cloud.

Theo Xiaomi, loại thông tin kể trên giúp công ty cải tiến dịch vụ như tùy biến, cập nhật, mục đích phân tích “hiệu quả kinh doanh”. Hãng cam kết thông tin không được dùng để theo dõi địa điểm người dùng.