Xiaomiのスマートフォン「Xiaomi Redmi Note 8」が、端末上で行われたユーザーのほとんどの行動を記録し、アリババのサーバーに送っていることを、セキュリティ研究者のGabriel Cirlig氏が発見しました。

https://uk.pcmag.com/smartphones/126774/report-xiaomi-phones-scooping-up-tons-of-web-browsing-data-even-in-incognito-mode

https://uk.pcmag.com/smartphones/126774/report-xiaomi-phones-scooping-up-tons-of-web-browsing-data-even-in-incognito-mode

Cirlig氏によると、Redmi Note 8にインストールされているXiaomiデフォルトのブラウザを使うと、検索エンジンを含む訪れたウェブサイト全てや、Xiaomiアプリのニュースフィード機能で表示された全てのアイテムについてが記録されるとのこと。このような追跡は、ユーザーがよりプライベートな「シークレットモード」を使っていても行われていると研究者はみています。

またRedmi Note 8は、ユーザーが開いたフォルダや、スワイプしたスクリーン、ステータスバーや設定ページの内容についても記録し、全てをひとまとめにして、シンガポールやロシアにあるサーバーに送信していたとCirlig氏は述べています。なお、このサーバーはアリババがホストするもので、ドメインは北京として登録されていたとのこと。

Cirlig氏はXiaomiのスマートフォンについて「電話の機能を備えたバックドア」だと表現しています。

Cirlig氏から話を聞いたForbesがセキュリティ研究者のAndrew Tierney氏に依頼し、さらなる調査を行ったところ、Google Play上で扱いのあるXiaomi製ブラウザ「Mi Browser Pro」と「Mint Browser」も、同様のデータを収集していることが判明。これら2つのアプリは合わせて1500万回以上もダウンロードされています。

またCirlig氏は「Xiaomi Mi Note 10」「Xiaomi Redmi K20」「Xiaomi Mi MIX 3」という3端末からもファームウェアをダウンロードし、ブラウザに同じコードが使われていることを確認しました。つまり、これらのブラウザについても同様のセキュリティ問題が存在する可能性があるわけです。

調査についてXiaomiは「研究における主張は真実ではありません」「我々にとってプライバシーとセキュリティが最大の懸念事項です」とコメントし、問題を否定しました。一方で広報担当はブラウザがデータを収集していることについては認めており、「情報は匿名化されているので個人と結び付くことはありません」と述べ、ユーザーの同意のもとに収集を行っていると説明しました。

一方で、Cirlig氏やTierney氏は、ウェブサイトやウェブ検索についての情報だけでなく、デバイスとAndroidのバージョンを識別するための番号を含むデータが収集されていたと報告しています。このようなデータにより、情報とユーザーを結び付けるのは容易だとCirlig氏は述べています。またXiaomiはシークレットモードによる情報収集についても否定しており、ここも研究者らの意見と対立しています。Cirlig氏はアプリを開く度に一連の情報がリモートサーバーに送信されていたことから、アプリの使用も監視されている可能性を示唆していますが、この点についてXiaomiは言及しませんでした。