"Itu backdoor yang berfungsi sebagai ponsel," kata Cirlig dalam wawancara ekslusif dengan Forbes, dikutip Sabtu.
Cirlig semula curiga ponselnya Redmi Note 8 mengambil sejumlah data dari aktivitasnya di ponsel. Dia kemudian meneliti lebih dalam ponselnya, menemukan bahwa ponsel tersebut melihat apa saja yang dia lakukan di ponsel, termasuk folder yang dibuka sampai pengaturan.
Ketika dia berselancar di internet dengan peramban bawaan dari ponsel Xiaomi, Cirlig menemukan aplikasi tersebut merekam apa saja yang dia kunjungi, termasu queri di mesin pencari Google dan DuckDuckGok.
Peramban juga melacak setiap hal yang dilihat di lini masa aplikasi tersebut, berlaku juga meski pun sudah memakai mode "incognito".
Cirlig mengunduh firmware di ponsel Xiaomi lainnya yang dia gunakan untuk penelitian, antara lain Mi 10, Redmi K20 dan Mi MIX 3. Dia mengonfirmasi peramban di ponsel-ponsel itu memiliki kodeyang sama sehingga muncul kecurigaan gawai tersebut juga memiliki masalah keamanan yang sama.
Tidak hanya mengambil data, Cirlig juga curiga Xiaomi mengirim data-data tersebut ke server. Dia menemukan data tersebut dikirim ke server di Singapura dan Rusia, meskipun domain situs yang terdaftar berada di Beijing.
Data tersebut disimpan di server dari Alibaba, yang disewa oleh Xiaomi, menurut Cirlig.
Forbes secara terpisah menghubungi peneliti keamanan siber lain, Andrew Tierney untuk menyelidiki masalah keamanan di Xiaomi. Berdasarkan penelitian Tierney, peramban Mi Browser Pro dan Mint Browser dari Xiaomi mengumuplkan data-data yang disebutkan.
Cirlig dan Tierney menemukan bukan hanya data dari situs yang dikunjungi di browser yang diambil, namun juga beberapa data tentang perangkat termasuk nomor unik untuk identifikasi ponsel dan versi Android.
Mereka juga mendapati aplikasi dari Xiaomi emngirim data ke sejumlah domain yang berkaitan dengan nama Sensor Analytics. Saat salah satu domain di klik, laman tersebut memuat tulisan "Sensor Analytics siap menerima data Anda!".
Temuan lainnya, terdapat sebuah application programming interface atau APPI bernama SensorDataAPI, yang mengizinkan pihak ketiga untuk mengakses data aplikasi. Xiaomi, menurut Forbes, tercatat sebagai salah seorang pelanggan Sensors Data.
Sementara itu, CEO Sensors Data, Sang Wenfeng, memiliki rekam jejak dalam melacak pengguna. Dia pernah bekerja di Baidu, membuat platform big data untuk log pengguna Baidu.
Kepada Forbes, Xiaomi membenarkan mereka memiliki hubungan kerja dengan perusahaan rintisan asal China, Sensor Analytics, yang juga dikenal sebagai Sensors Data.
"Sensors Analytics memberikan solusi analisis data untuk Xiaomi, namun, data anonimus yang dikumpulkan disimpan di server Xiaomi dan tidak akan dibagikan kepada Sensors Analytics maupun pihak ketiga lainnya," kata Xiaomi.
Sementara untuk klaim dari para peneliti yang dimuat Forbes, Xiaomi menyatakan tidak benar. Xiaomi membenarkan mereka mengumpulkan data dari browser, namun, secara anonimus sehingga tidak bisa mengidentifikasi pengguna. Menurut Xiaomi, pengguna sudah menyetujui pelacakan tersebut.
"Privasi dan keamanan adalah perhatian utama kami," kata Xiaomi sambil menambahkan mereka mematuhi aturan tentang privasi data di mana pun mereka beroperasi.