Xiaomi membantah laporan Forbes yang menyatakan mereka secara diam-diam mengambil data pengguna dari peramban atau browser bawaan ponsel.
"Xiaomi kecewa dengan artikel dari Forbes. Kami rasa mereka salah memahami mengenai apa yang kami komunikasikan tentang prinsip dan kebijakan privasi data kami," kata Xiaomi, dalam keterangan yang dimuat di blog resmi.
"Privasi pengguna dan keamanan internet merupakan prioritas utama di Xiaomi. Kami yakin bahwa kami secara ketat mengikuti peraturan lokal," kata Xiaomi menambahkan.
Dalam tulisan tersebut, Xiaomi menjelaskan bahwa histori dat di peramban akan tersinkronisasi jika pengguna masuk ke Mi Account dan menyalakan sinkronisasi di penyetelan ponsel.
Xiaomi juga mengumpulkan data antara lain berupa sistem informasi, preferensi, penggunaan fitur tampilan antarmuka, performa, penggunaan memori dan crash reports. Data-data tersebut, menurut Xiaomi, diagregasi dan tidak bisa berdiri sendiri untuk mengindentifikasi pengguna.
"Semua data penggunaan berdasarkan izin dan persetujuan yang secara eksplisit diberikan pengguna kami. Sebagai tambahan, kami memasrikan seluruh proses tersebut anonimus dan dienkripsi," kata Xiaomi.
Mereka mengumpulkan data statistik penggunaan teragregasi, aggregated usage statistic data, untuk analisis internal dan tidak menautkan data tersebut dengan informasi personal.
Terkait dugaan Xiaomi mengirim data ke server di Singapura, Rusia maupun China, mereka menegaskan menggunakan cloud publik yang "umum dan terkenal di industri".
"Semua informasi dari layanan dan pengguna luar negeri disimpan di server yang berada di beberapa pasar luar negeri. Kami juga mengikuti undang-undang dan regulasi lokal tentang perlindungan data secara ketat," kata Xiaomi.
Dalam keterangan tersebut, Xiaomi juga menyatakan mereka mengadopsi transparansi perlindungan privasi terbaru di sistem operasi MIUI 12.
Kumpulkan Data Lewat Browser
Seorang peneliti keamanan siber, Gabi Cirlig, mencurigai Xiaomi diam-diam melakukan praktik pengumpulan data melalui peramban bawaan dari merk tersebut.
"Itu backdoor yang berfungsi sebagai ponsel," kata Cirlig dalam wawancara ekslusif dengan Forbes, dikutip Sabtu.
Cirlig semula curiga ponselnya Redmi Note 8 mengambil sejumlah data dari aktivitasnya di ponsel. Dia kemudian meneliti lebih dalam ponselnya, menemukan bahwa ponsel tersebut melihat apa saja yang dia lakukan di ponsel, termasuk folder yang dibuka sampai pengaturan.
Ketika dia berselancar di internet dengan peramban bawaan dari ponsel Xiaomi, Cirlig menemukan aplikasi tersebut merekam apa saja yang dia kunjungi, termasu queri di mesin pencari Google dan DuckDuckGok.
Peramban juga melacak setiap hal yang dilihat di lini masa aplikasi tersebut, berlaku juga meski pun sudah memakai mode "incognito".
Cirlig mengunduh firmware di ponsel Xiaomi lainnya yang dia gunakan untuk penelitian, antara lain Mi 10, Redmi K20 dan Mi MIX 3. Dia mengonfirmasi peramban di ponsel-ponsel itu memiliki kodeyang sama sehingga muncul kecurigaan gawai tersebut juga memiliki masalah keamanan yang sama.
Tidak hanya mengambil data, Cirlig juga curiga Xiaomi mengirim data-data tersebut ke server. Dia menemukan data tersebut dikirim ke server di Singapura dan Rusia, meskipun domain situs yang terdaftar berada di Beijing.
Data tersebut disimpan di server dari Alibaba, yang disewa oleh Xiaomi, menurut Cirlig.
Forbes secara terpisah menghubungi peneliti keamanan siber lain, Andrew Tierney untuk menyelidiki masalah keamanan di Xiaomi. Berdasarkan penelitian Tierney, peramban Mi Browser Pro dan Mint Browser dari Xiaomi mengumuplkan data-data yang disebutkan.
Cirlig dan Tierney menemukan bukan hanya data dari situs yang dikunjungi di browser yang diambil, namun juga beberapa data tentang perangkat termasuk nomor unik untuk identifikasi ponsel dan versi Android.
Mereka juga mendapati aplikasi dari Xiaomi emngirim data ke sejumlah domain yang berkaitan dengan nama Sensor Analytics. Saat salah satu domain di klik, laman tersebut memuat tulisan "Sensor Analytics siap menerima data Anda!".
Temuan lainnya, terdapat sebuah application programming interface atau APPI bernama SensorDataAPI, yang mengizinkan pihak ketiga untuk mengakses data aplikasi. Xiaomi, menurut Forbes, tercatat sebagai salah seorang pelanggan Sensors Data.
Sementara itu, CEO Sensors Data, Sang Wenfeng, memiliki rekam jejak dalam melacak pengguna. Dia pernah bekerja di Baidu, membuat platform big data untuk log pengguna Baidu.
Kepada Forbes, Xiaomi membenarkan mereka memiliki hubungan kerja dengan perusahaan rintisan asal China, Sensor Analytics, yang juga dikenal sebagai Sensors Data.
"Sensors Analytics memberikan solusi analisis data untuk Xiaomi, namun, data anonimus yang dikumpulkan disimpan di server Xiaomi dan tidak akan dibagikan kepada Sensors Analytics maupun pihak ketiga lainnya," kata Xiaomi.
Sementara untuk klaim dari para peneliti yang dimuat Forbes, Xiaomi menyatakan tidak benar. Xiaomi membenarkan mereka mengumpulkan data dari browser, namun, secara anonimus sehingga tidak bisa mengidentifikasi pengguna. Menurut Xiaomi, pengguna sudah menyetujui pelacakan tersebut.
"Privasi dan keamanan adalah perhatian utama kami," kata Xiaomi sambil menambahkan mereka mematuhi aturan tentang privasi data di mana pun mereka beroperasi.
| Penulis | : | Adam Rizal |
| Editor | : | Liana Threestayanti |
KOMENTAR