Cyberthreat.id – Diam-diam ponsel pintar asal China, Xiaomi Redmi Note 8 merekam data penggunanya.

“Data itu kemudian dikirim ke peladen (server) jauh yang dikelola oleh raksasa perusahaan internet China, Alibaba—seolah-olah disewa oleh Xiaomi,” tulis Forbes, Kamis (30 April 2020).

Laporan Forbes tersebut berdasarkan temuan Gabriel Cirlig, peneliti White Ops, perusahaan keamanan siber asal New York, Amerika Serikat.

Dalam setengah bercandanya, Cirlig mengatakan, “Ini adalah ‘pintu belakang’ (backdoor) dengan fungsi telepon,” ujar dia.

Cirlig dikenal sebagai peneliti yang berpengalaman di sejumlah perilaku pelacakan daring (online).

Yang dilakukan ponsel Xiaomi tersebut, menurut dia, memanen berbagai jenis data pengguna. Oleh karenanya, ia sangat khawatir identitasnya terlacak.

Misalnya, ketika dia berselancar di web satu ke web lain melalui peramban (browser) default Xiaomi, perangkat mencatat semua situs web yang dikunjungi, termasuk permintaan mesin pencari apakah Google atau DuckDuckGo yang menawarkan fitur privasi.

Pelacakan itu terjadi, bahkan ketika ia menggunakan mode "incognito” (penyamaran) yang seharusnya bersifat privat.

Selain itu, perangkat juga merekam folder apa yang dibuka dan layar mana yang diusap, termasuk bilah status dan halaman pengaturan.

“Semua data dikemas dan dikirim ke server jauh di Singapura dan Rusia meski domain web yang mereka hosting terdaftar di Beijing,” tulis Forbes.

Sementara itu, Forbes juga meminta peneliti keamanan siber Andrew Tierney untuk mengecek temuan itu. Dalam penyelidikannya, Tierney juga menemukan browser yang dikirimkan oleh Xiaomi di Google Play Store: Mi Browser Pro dan Mint Browser juga mengumpulkan data yang sama. Padahal, kedua peramban itu telah diunduh lebih dari 15 juta kali.

Xiaomi adalah salah satu dari empat pembuat smartphone teratas di dunia berdasarkan pangsa pasar, di belakang Apple, Samsung dan Huawei. Penjualan besar Xiaomi karena berani banting harga murah, tapi memiliki banyak kualitas yang sama dengan smartphone kelas atas.

Model lain
Cirlig berpendapat masalah yang ditemukannya mempengaruhi banyak model. Dia kemudian mengunduh firmware untuk ponsel Xiaomi lainnya, seperti perangkat Xiaomi MI 10, Xiaomi Redmi K20 dan Xiaomi Mi MIX 3.

Ketiga perangkat memiliki kode peramban yang sama, kata dia. Tampaknya ada masalah dengan Xiaomi mentransfer data ke server-nya.

Meski Xiaomi mengklaim data dienkripsi ketika ditransfer dalam upaya untuk melindungi privasi pengguna, Cirlig mengatakan, dirinya dapat dengan cepat melihat apa yang diambil dari perangkatnya. Ia bisa mendekodekan sejumlah informasi yang ternyata disembunyikan dengan pengkodean yang mudah diretas—dikenal sebagai “base64”.

Cirlig mengaku hanya beberapa detik untuk mengubah “data yang kacau” menjadi potongan informasi yang dapat dibaca.

Tanggapan Xiaomi

Menanggapi temuan, Xiaomi mengatakan, "Klaim penelitian tersebut tidaklah benar," kata perusahaan.

"Privasi dan keamanan menjadi perhatian utama. Kami mengikuti dengan ketat dan sepenuhnya mematuhi hukum dan peraturan setempat tentang masalah privasi data pengguna," Xiaomi menambahkan.

Xiaomi juga membantah bahwa data browsing direkam dalam mode penyamaran.

Namun, menurut Cirlig, Xiaomi juga mengumpulkan data tentang ponsel, termasuk nomor unik untuk mengidentifikasi perangkat tertentu dan versi Android yang diinstal. “Metadata seperti itu dapat dengan mudah dikorelasikan dengan ‘manusia yang sebenarnya di balik layar’," kata Cirlig.

Ketika Forbes memberi Xiaomi sebuah video yang dibuat oleh Cirlig yang menunjukkan bagaimana pencarian Google untuk "porno" dan kunjungan ke situs PornHub dikirim ke server jarak jauh, bahkan ketika dalam mode penyamaran, Xiaomi masih saja menyangkal bahwa informasi itu direkam.

Baik Cirlig dan Tierney mengatakan perilaku Xiaomi lebih invasif daripada browser lain seperti Google Chrome atau Apple Safari.

"Ini jauh lebih buruk daripada browser arus utama mana pun yang saya lihat," kata Tierney.

“Banyak dari mereka menggunakan analitik, tetapi [Xiaomi] ini mengambil perilaku browser, termasuk URL, tanpa persetujuan eksplisit, dan dalam mode penjelajahan pribadi.”

Cirlig dan Tierney juga menemukan aplikasi Xiaomi mengirim data ke domain yang merujuk pada Sensors Analytics, startup China yang juga dikenal dengan nama Sensors Data.

Saat mengklik salah satu domain, halaman tersebut berisi satu kalimat: "Sensors Analytics siap menerima data Anda!" Ada API yang disebut SensorDataAPI — API (antarmuka pemrograman aplikasi) sebagai perangkat lunak yang memungkinkan pihak ketiga mengakses data aplikasi. Xiaomi juga terdaftar sebagai pelanggan di situs web Sensors Data.

Pendiri dan CEO Sensors Data, Sang Wenfeng, memiliki sejarah panjang dalam melacak pengguna. Di raksasa internet Cina Baidu,  Sensors Data membangun platform data besar untuk log pengguna Baidu.

Xiaomi mengkonfirmasi hubungan perusahaan dengan Sensors Data. "Sensors Analytics menyediakan solusi analisis data untuk Xiaomi, data anonim yang dikumpulkan disimpan di server Xiaomi sendiri dan tidak akan dibagikan dengan Sensors Analytics, atau perusahaan pihak ketiga lainnya," kata Xiaomi.[]