La firma de seguridad
F-Secure ha corroborado en su laboratorio que un terminal Xiaomi envía datos de usuario a un servidor localizado en China sin permiso previo. La comprobación de la empresa finlandesa llega después de que el fabricante oriental acallara los rumores sobre "conexiones secretas" aparecidos a mediados de julio.
La alarma sobre los móviles Xiaomi llegó al ojo público después de que un usuario del foro hongkonés IMA Mobile observara
conexiones automáticas desde un RedMi Note. Según el primer informe, el terminal envía fotografías y SMS a IPs localizadas en China siempre que exista una conexión Wi-Fi activa. Un comportamiento que no cesa al desactivar las opciones de sincronización del móvil o incluso al instalar otro
firmware.
El vicepresidente global de Xiaomi, Hugo Barra, salió al paso sobre la polémica
aclarando que el sistema operativo MIUI solo envía mensajes y fotografías si el usuario activa el servicio de almacenamiento en nube Mi Cloud. Según Barra, con este servicio desactivado las conexiones automáticas de los teléfonos Xiaomi se limitan a "consultas de datos públicos" que "no infringen la privacidad del usuario".
No obstante, el experimento de F-Secure con un Xiaomi RedMi 1S muestra que el terminal envía datos a un servidor del fabricante pese a tener el servicio Mi Cloud desactivado. Con esta configuración, el dispositivo comunica sin previo aviso el nombre del operador, el número de teléfono del usuario, el IMEI (código de identificación del aparato) y los números de teléfono tanto de la guía de contactos como de los SMS recibidos.
En caso de activar el servicio Mi Cloud, el RedMi 1S envía además de los datos anteriores el código IMSI que identifica la tarjeta SIM del usuario. En todos los experimentos, la compañía utiliza un teléfono recién salido de la caja con Wi-Fi y GPS activados, pero sin configurar ninguna cuenta de usuario.
Según recoge la
política de privacidad de Xiaomi, la recolección de información personal "incluye, pero no se limita a: Información de entrega, cuentas bancarias, información de tarjeta de crédito, dirección de envío, verificación de crédito y otra información financiera, contacto o registros de comunicación". Datos que se utilizarían de forma privada para "asegurar la seguridad y funcionalidad de nuestros productos y servicios, verificar su identidad o acusar fraudes u otros usos impropios".