“Ini adalah kekosongan data yang dapat Anda gunakan untuk melakukan panggilan,” canda pakar keamanan TI Gabriel Cîrlig tentang ponsel pintar Xiaomi-nya dalam sebuah wawancara dengan “Forbes”.

Dia sebelumnya membuktikan bahwa browser standar pabrikan China mencatat setiap situs web yang dikunjungi, termasuk semua entri di mesin pencari, dan mengirimkannya ke server di China yang dihosting oleh Alibaba.

Bahkan informasi mengenai aktivitas offline seperti membuka folder dan aplikasi di smartphone, musik yang diputar, termasuk cap waktu bahkan menggesek layar akan diteruskan ke produsennya.

Pada saat yang sama, menurut penelitian Cîrlig, informasi tentang ponsel cerdas, versi Android, dan ID pengguna tetap dikirimkan. Pakar khawatir bahwa setiap pengguna dapat diidentifikasi dengan jelas menggunakan metadata ini.

Transfer data bahkan dapat dilakukan dalam mode penyamaran browser

Penelitian Cîrlig didasarkan pada model Redmi Note 8, tetapi ia khawatir setidaknya model Mi 10, Redmi K20, dan Mi MIX 30 juga terpengaruh. Semuanya menggunakan kode browser yang sama. Jutaan pengguna di seluruh dunia dapat terkena dampak pelanggaran data.

Pakar IT Andrew Tierney juga mengulas pengungkapan Cîrlig untuk Forbes. Ia menemukan bahwa dua aplikasi browser Xiaomi lainnya dari Google Play Store – Mi Browser Pro dan Mint Browser – juga mengalami masalah serupa. Bersama-sama, keduanya dikatakan telah diunduh lebih dari 15 juta kali.

Xiaomi menyangkal hal ini – dan pada saat yang sama menjanjikan peningkatan

Pabrikan tersebut membela diri dalam sebuah pernyataan kepada Forbes dan awalnya membantah tuduhan tersebut: privasi sangat penting bagi perusahaan dan mereka mematuhi semua peraturan hukum.

Namun, juru bicara perusahaan pada saat yang sama mengonfirmasi bahwa data dikumpulkan – tetapi secara anonim dan setelah pengguna menyetujuinya. Dalam mode penyamaran, tidak ada data yang ditransfer kapan pun.

Xiaomi mengklaim bahwa transfer data hanya terjadi dengan persetujuan tertulis dari pengguna dan URL browser dicatat hanya untuk mengidentifikasi situs web yang memuat dengan lambat. Selain itu, data dianonimkan dan ID pengguna dibuat secara acak. Perusahaan mengabaikan bukti Cîrlig yang konsisten sehingga memungkinkan untuk mengidentifikasi pengguna.

Yang detail Entri blog juga merujuk pada “fitur penyisihan” yang diperkenalkan pada pembaruan terkini pada tanggal 3 Mei. Dengan ini, pengguna dapat “mempertahankan kendali atas pembagian data mereka,” kata Xiaomi.