Nei giorni scorsi, un’ombra calava sui servizi offerti dal produttore cinese Xiaomi: la funzione dedicata alla messaggistica IP, volta a sostituire gli SMS con dati gestiti attraverso i server dell’azienda, si appropriava senza alcun avvertimento dei dati relativi ai terminali degli utenti e delle loro rubriche, scambiati in chiaro.
Questo potenziale rischio per la privacy era stato segnalato in un post della security company F-Secure: si documentava come, all’accensione, uno smartphone RedMi 1S inviasse al server api.account.xiaomi.com informazioni sull’operatore, l’IMEI del terminale e il numero di telefono associato, insieme ai numeri di telefono dei contatti aggiunti alla rubrica e dei contatti da cui si sono ricevuti degli SMS. Le stesse informazioni, in aggiunta all’IMSI della SIM, venivano inviate in seguito al login con il servizio Mi Cloud, il servizio di storage offerto da Xiaomi.
I sospetti riguardo all’invadenza del produttore cinese nel versante telefonico della vita dell’utente sono presto stati temperati dall’ intervento di Hugo Barra, ex Googler ora vicepresidente dell’azienda: ha spiegato che la raccolta dei dati è indispensabile per il funzionamento di MIUI Cloud Messaging, il servizio di messaggistica IP offerto dall’azienda su modello di quelli offerti da altri produttori, ed è indispensabile per consentire agli utenti di sapere con certezza se il messaggio inviato sarà scambiato gratuitamente, nel momento il cui il destinatario è registrato al servizio e sia online, o se al contrario si configurerà come un tradizionale SMS. Barra ha assicurato inoltre che l’azienda non conserva informazioni riguardo alle relazioni che intercorrono tra i diversi utenti e i loro contatti, e che il contenuto del messaggio, cifrato, viene conservato per il tempo necessario all’invio, poi rimosso dai server.
Il dirigente ammette però che questa raccolta dei dati da parte dell’azienda, funzionale a fornire il servizio, viene eseguita senza previo consenso dell’utente e senza cifratura dei dati. L’azienda, oltre a scusarsi con i suoi utenti, ha dunque previsto un update di sicurezza per rimediare a questi due aspetti. Innanzitutto, il servizio di messaggistica non sarà attivo default, ma sarà opzionale , attivabile dopo un consenso informato e disattivabile in qualsiasi momento. L’aggiornamento messo a disposizione di Xiaomi prevede una ulteriore miglioria per assicurare le privacy degli utenti: i numeri di telefono e i dati saranno scambiati con i server di MIUI Cloud Messaging in forma cifrata e non più in chiaro .
La tempestività dell’intervento di Xiaomi, sottolineano in molti , va di pari passo con la crescente popolarità del marchio : sotto la lente delle cronache di tutto il mondo, il produttore cinese non intende rinunciare a dimostrare di essere degno di fiducia .
Gaia Bottà