Gaia Bottà

Xiaomi, rubriche al sicuro

Il servizio di messaggistica IP offerto dal produttore cinese scambiava con i propri server dati in chiaro, senza informare gli utenti. Xiaomi è intervenuta per mostrare di essere degna di fiducia

Roma - Nei giorni scorsi, un'ombra calava sui servizi offerti dal produttore cinese Xiaomi: la funzione dedicata alla messaggistica IP, volta a sostituire gli SMS con dati gestiti attraverso i server dell'azienda, si appropriava senza alcun avvertimento dei dati relativi ai terminali degli utenti e delle loro rubriche, scambiati in chiaro.

Questo potenziale rischio per la privacy era stato segnalato in un post della security company F-Secure: si documentava come, all'accensione, uno smartphone RedMi 1S inviasse al server api.account.xiaomi.com informazioni sull'operatore, l'IMEI del terminale e il numero di telefono associato, insieme ai numeri di telefono dei contatti aggiunti alla rubrica e dei contatti da cui si sono ricevuti degli SMS. Le stesse informazioni, in aggiunta all'IMSI della SIM, venivano inviate in seguito al login con il servizio Mi Cloud, il servizio di storage offerto da Xiaomi.

I dati scambiati

I sospetti riguardo all'invadenza del produttore cinese nel versante telefonico della vita dell'utente sono presto stati temperati dall'intervento di Hugo Barra, ex Googler ora vicepresidente dell'azienda: ha spiegato che la raccolta dei dati è indispensabile per il funzionamento di MIUI Cloud Messaging, il servizio di messaggistica IP offerto dall'azienda su modello di quelli offerti da altri produttori, ed è indispensabile per consentire agli utenti di sapere con certezza se il messaggio inviato sarà scambiato gratuitamente, nel momento il cui il destinatario è registrato al servizio e sia online, o se al contrario si configurerà come un tradizionale SMS. Barra ha assicurato inoltre che l'azienda non conserva informazioni riguardo alle relazioni che intercorrono tra i diversi utenti e i loro contatti, e che il contenuto del messaggio, cifrato, viene conservato per il tempo necessario all'invio, poi rimosso dai server.
Il dirigente ammette però che questa raccolta dei dati da parte dell'azienda, funzionale a fornire il servizio, viene eseguita senza previo consenso dell'utente e senza cifratura dei dati. L'azienda, oltre a scusarsi con i suoi utenti, ha dunque previsto un update di sicurezza per rimediare a questi due aspetti. Innanzitutto, il servizio di messaggistica non sarà attivo default, ma sarà opzionale, attivabile dopo un consenso informato e disattivabile in qualsiasi momento. L'aggiornamento messo a disposizione di Xiaomi prevede una ulteriore miglioria per assicurare le privacy degli utenti: i numeri di telefono e i dati saranno scambiati con i server di MIUI Cloud Messaging in forma cifrata e non più in chiaro.

La tempestività dell'intervento di Xiaomi, sottolineano in molti, va di pari passo con la crescente popolarità del marchio: sotto la lente delle cronache di tutto il mondo, il produttore cinese non intende rinunciare a dimostrare di essere degno di fiducia.

Gaia Bottà
Notizie collegate
17 Commenti alla Notizia Xiaomi, rubriche al sicuro
Ordina
  • "prima dragare (dati), poi chiedere. e dragarne altri".   Non c'e' troppo da scandalizzarsi, visti i competitor [pure CM ha qualche piccola questione], pero' CHE PALLE!
    fastidioso anche fare lo gnorri... solo 'dopo', barra ha spiegato che si, lo facevano by default, "ma per il nostro bene" (aka per rendere comodo? il Cloud Messaging)
    non+autenticato
  • - Scritto da: bubba

    > (aka per rendere comodo?
    > il Cloud
    > Messaging)

    la cosa simpatica è che potrebbe essere vero

    per i servizi cloud è utile ( a volte vitale ) poter connettere l'ip allo specifico terminale ( altrimenti ci vogliono i cookie )

    imho è l'idea del cloud che ha in sè il seme della distruzione della privacy

    il punto è che il meccanismo stesso richiede una relazione profonda e stabile tra il terminale dell'utente e i sistemi server del fornitore

    il problema sta nel fatto che il fornitore va in giro a distribuire quei dati a tutte le agenzie a tre lettere del pianeta

    è lampante ormai che la questione vada affrontata dal punto di vista legislativo, ma ci vorrebbe una forte pressione popolare, cioè dovremmo far capire al popolino che i rischi ci sono e sono grossi....buona fortuna!
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: bubba
    >
    > > (aka per rendere comodo?
    > > il Cloud
    > > Messaging)
    >
    > la cosa simpatica è che potrebbe essere vero
    >
    > per i servizi cloud è utile ( a volte vitale )
    > poter connettere l'ip allo specifico terminale (
    > altrimenti ci vogliono i cookie
    > )
    ma certo che e' "vero"... il punto principale e' che... anzi sono 2 i punti:
    1) nella smartphone-era dove tutti-devono-essere-up-to-date-col-mondo c'e' una strabordante quantita' di dati che vengono richiesti/rilasciati con facilita' e noncuranza. Sul tel l'app avvia una sessione http, quindi mandi l'ip, ma anche l'useragent e il mod.di telefono e magari il serial/unique_id (non ti servono, ma perche' no, fa statistica). Per evitare la "scomodita'?" di un account, mandiamo anche l'imei... e si, pure l'imsi. Ma anche il cellid, tanto, finche' ci siamo.. [usare l'imei invece di un acct, ovviamente mi crea problemi se volessi collegarmi con una "pen-tv", per dire, ma who cares]Con la lingua fuori
    2) (+- intimamente legato alla 1) E' stramaledettamente difficile "far star zitto" uno smartphone. Mettiamo che hai cyanogen senza gapps.. lo accendi in wifi, e quello bussa alla porta cyano per gli update & co. Ok cerco l'opzione e lo disabilito. Poi c'e' il widget delle previsioni del tempo, che spara ip,browser,tel,e geolocation. Caviamolo proprio (o va sotto xprivacy )...

    Potro' ora entrare in lan via wifi a guardare i porni sul NAS senza dirlo a nisuno? non proprio, xche un capzo di componente (credo Wifiqualcosa richiamato da ConnectivityManager poi richiamato da webview) fa una telefonata a http://clients3.google.com/generate_204 per sapere se il wifi routa su internet o meno. Il router che mi da il wifi E' in internet, ma io non avevo bisogno di andarci... xche razzo il tel vuole notificare a google che sono up? (si lo sappiamo, per venire incontro alle limitate capacita' mentali di chi e' in un captive portal & co, e per notificare quindi al sistema le priorita' ecc. Una bella spunta cmq sarebbe stato molto meglio!)
    ...e cosi' via sino all'ultimo task da ispezionareCon la lingua fuori

    Ho un po' focalizzato su android perche' tanto gli iPr0n user sono come gli Eloi... loro non si pongono problemi (sinche' ad un certo momento.. zak.. evabbe'Con la lingua fuori)

    > imho è l'idea del cloud che ha in sè il seme
    > della distruzione della
    > privacy
    >
    > il punto è che il meccanismo stesso richiede una
    > relazione profonda e stabile tra il terminale
    > dell'utente e i sistemi server del
    > fornitore
    sicuramente... e nessuno si risparmia nel mandare info sovrabbondanti anche quando non servono...Con la lingua fuori un telefono "che non fa niente" ma con parecchie app, probabilmente scambia piu' dati lui, del numero di euro che ci mette il Silvio in cene eleganti...

    > il problema sta nel fatto che il fornitore va in
    > giro a distribuire quei dati a tutte le agenzie a
    > tre lettere del
    > pianeta
    anche... ma mi preoccupano anche i somari, i ladri e i piazzisti... e quelli sono molti di piu' delle Agenzie...

    > è lampante ormai che la questione vada affrontata
    > dal punto di vista legislativo, ma ci vorrebbe
    > una forte pressione popolare, cioè dovremmo far
    > capire al popolino che i rischi ci sono e sono
    > grossi....buona
    > fortuna!
    l'altro gg vaneggiavo su una cosa piccola ma concreta... che i narcotizzati in parlamento Eu potrebbero fare se volessero... finalizzare (gia' esistono cose) un' alternativa alle gapps (o un proxing ad esse o ad alcune)...
    non+autenticato
  • esattamente così, in particolare il punto 1 ha l'appoggio degli utenti ( che non vogliono sbattersi ad inserire una banale password ogni volta ) e dei politici/spioni/affini che finalmente possono imporre de facto il passaporto per internet ( senza dover fare una legge e senza doversi sorbire le grida delle associazioni pro-privacy )
    non+autenticato
  • - Scritto da: collione
    > esattamente così, in particolare il punto 1 ha
    > l'appoggio degli utenti ( che non vogliono
    > sbattersi ad inserire una banale password ogni volta
    ehh... si e no... cioe' hai ragione... per i dumb users non c'e' niente da fare e ce ne faremo una ragione... MA quella di fare "per forza" software "chatty by design" e' una scelta degli sviluppatori delle app, dei developers dell'OS...    
    voglio dire... gli costa poco mettere un 'off di DEFAULT', cavare quel 'phoning home' di DEFAULT ecc... per carita', l'utente vuole essere teleguidato dai push di facebook ecc...bene, basta che tolga la spunta e metta su on. ce la puo' fare. I "power users" e oltre, pero', eviterebbero lo sparpagliamento dati non richiesto, senza dannarsi.
    Il markettaro evil dragadati che fa una "certa" app ci sara' sempre, ma ALMENO che entri un po nella cultura generale [perche non penso che siano tutti amici-NSA... proprio alcuni non pensano a cio' come ad un problema], anche e sopratutto degli sviluppatori dell'OS..

    > volta ) e dei politici/spioni/affini che
    > finalmente possono imporre de facto il passaporto
    > per internet ( senza dover fare una legge e senza
    > doversi sorbire le grida delle associazioni
    > pro-privacy
    eh, in effetti come molte cose nella security, l'associazione ip-imsi-imei, e' a doppia faccia... essendo un dato 'strong' quello telefonico, ti puo' servire per provare ragionevolmente la tua identita' su una cosa importante (es banca), MA contemporaneamente e' urticante che la banca tenga quei dati (di piu' del semplice n.di.tel) pensando che poi magari li cede al solito spammer via sms.
    Questo SENZA considerare i vari whatsapp.. 100 volte meno importanti del tuo conto c/c.. e dove non puoi fare a meno di sparacchiare a loro quei dati, se vuoi usare il sw (con la banca puoi)...
    Cacchio, ormai, agli occhi di un profano, sembro un luddista tecnofobico e paranoico....A bocca storta
    non+autenticato
  • Ormai non ci si può fidare di nessuno, come le vicende di questi anni hanno confermato ampiamente.
    Fidarsi poi di una ditta cinese è semplicemente da pazzi.
    Notare inoltre come siano corsi ai ripari solo dopo che qualcun'altro ha segnalato la cosa.
    Che mondo di mer*a popolato da gente di mer*a...
    non+autenticato
  • - Scritto da: Aloha
    > Ormai non ci si può fidare di nessuno, come le
    > vicende di questi anni hanno confermato
    > ampiamente.
    > Fidarsi poi di una ditta cinese è semplicemente
    > da
    > pazzi.
    > Notare inoltre come siano corsi ai ripari solo
    > dopo che qualcun'altro ha segnalato la
    > cosa.
    > Che mondo di mer*a popolato da gente di mer*a...

    però loro sono corsi al riparo, le ditte più blasonate ti dicono che sei tu ad aver capito male ( vedi Apple )
    non+autenticato
  • Vero, purtroppo...
    non+autenticato
  • Ma ancora con questa cosa che siccome è cinese è più pericolosa degli altri ? Era lo stesso ragionamento degli USA per Huawei,poi si è scoperto che era il contrarioA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Ma ancora con questa cosa che siccome è cinese è
    > più pericolosa degli altri ? Era lo stesso
    > ragionamento degli USA per Huawei,poi si è
    > scoperto che era il contrario
    >A bocca aperta
    alla pari degli altri ti suona meglio?Sorride
    non+autenticato
  • Si,ma forse anche meno degli altri,chi lo sa...
    non+autenticato
  • - Scritto da: Etype
    > Si,ma forse anche meno degli altri,chi lo sa...
    e' un po' difficile... sono numericamente di piu', hanno tutte le fab hitech dell'occidente, e non hanno un governo neanche apparentemente democraticoSorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Etype
    > > Si,ma forse anche meno degli altri,chi lo sa...
    > e' un po' difficile... sono numericamente di
    > piu', hanno tutte le fab hitech dell'occidente, e
    > non hanno un governo neanche apparentemente
    > democratico
    >Sorride

    almeno è tutto sotto la luce del sole,meglio l'italia con un governo fantoccio apparentemente democratico che lavoro per l'alta finanza e contro i cittadini?
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: bubba
    > > - Scritto da: Etype
    > > > Si,ma forse anche meno degli altri,chi
    > lo
    > sa...
    > > e' un po' difficile... sono numericamente di
    > > piu', hanno tutte le fab hitech
    > dell'occidente,
    > e
    > > non hanno un governo neanche apparentemente
    > > democratico
    > >Sorride
    >
    > almeno è tutto sotto la luce del sole,meglio
    > l'italia con un governo fantoccio apparentemente
    > democratico che lavoro per l'alta finanza e
    > contro i
    > cittadini?
    beh, si.Sorride PER ORA, almeno (le cose NON tendono al miglioramento, come vediamo ogni gg..)
    non+autenticato
  • Non ti do' assolutamente torto.
    Considera che nella mia affermazione c'è la considerazione che almeno quella USA è una forma di tirannia benevola e molto soft, mentre quella cinese è una tirannia molto più dura, e i dissidenti come Snowden non possono neanche nascere, figuriamoci diventare operativi.
    Considera le tantissime repressioni nemmeno mascherate perché i governanti cinesi, molto diversamente da quelli americani, non devono rendere conto a nessuno...
    E' considerando questo contesto che ho scritto il post.
    non+autenticato
  • - Scritto da: Aloha
    > Non ti do' assolutamente torto.
    > Considera che nella mia affermazione c'è la
    > considerazione che almeno quella USA è una forma
    > di tirannia benevola e molto soft

    Strano sono cresciuto con questa idea deglu USA Paese libero,sogno americano,ingenti possibilità di autorealizzazione,eccA bocca aperta
    Chiamala tirannia benevola,dentro ci metto la parola "terrorista" e sono legittimato a spiare e a bombardare la prima nazione che mi da fastidio.

    > mentre quella
    > cinese è una tirannia molto più dura, e i
    > dissidenti come Snowden non possono neanche
    > nascere, figuriamoci diventare
    > operativi.

    Con la differenza che almeno i cinesi sanno a cosa vanno incontro e come funziona il sistema,tutto è all aluce del sole.In America è il contrario,ti fanno vivere in una realtà parallela ma sotto sotto fanno di tutto.

    > Considera le tantissime repressioni nemmeno
    > mascherate perché i governanti cinesi, molto
    > diversamente da quelli americani, non devono
    > rendere conto a
    > nessuno...

    Perchè gli americani rendono conto a qualcuno ?
    Si credono i padroni del mondo,tutti quanti che si devono sacrificare per il loro beato vivere,sprecano,inquinano e consumano più di tutti gli altri,muovono guerra con il pretesto X,mettono zizzannia in ogni angolo del globo per i loro interessi,hanno la faccia tosta di fare guerra per i diritti umani e poi loro sono i primi che li violano e s'incavolano pure se qualcuno osa andare contro le loro posizioni.

    Se ci pensi bene il mondo arabo non ha tutti i torti quando esterna il proprio odio contro gli USA...
    non+autenticato
  • l'unica cosa che veniva comunicata era l'imei
    non+autenticato