F Secure afirma que los smartphones Xiaomi espían tus datos

La firma de seguridad F Secure confirma que los smartphone Xiaomi envían datos privados de sus usuarios a servidores chinos.

La firma de seguridad finlandesa F Secure añade más leña al fuego.

Desde hace meses, las acusaciones de espionaje a los smartphones de fabricantes chinos son constantes, incluso desde el propio gobierno americano.

En las últimas semanas, tras la presentación del potente Xiaomi M4, estas acusaciones se han incrementado, con expertos asegurando que los smartphones Xiaomi envían fotos y mensajes privados a sus servidores en China, sin el consentimiento del usuario.

Hugo Barra, vicepresidente de la compañía, salió al paso hace unos días en su cuenta de Google+, argumentando enérgicamente que Xiaomi no espía a sus usuarios, y que todos los datos que se envían a Xiaomi o a a su servicio en la nube Mi Cloud, son datos de control o actualizaciones que no contienen información personal, y que están regulados en el contrato con Xiaomi que todo usuario acepta.

Este fin de semana, la empresa de seguridad finlandesa F Secure ha publicado unas pruebas en donde confirma, según ella, que los smartphones Xiaomi envían datos privados a sus servidores.

Para llevar a cabo las mediciones, F Secure compró un smartphone RedMi 1S nuevo:

F Secur dice que Xiaomi espía a sus usuarios

¿Es mejor el Xiaomi M4 que el Galaxy S5, LG G3 o el iPhone 5S?

Con el smartphone recién sacado de la caja, sin realizar ninguna configuración de cuenta ni activar ningún servicio en la nube, F Secure realizó las siguientes acciones:

  • Insertar una tarjeta SIM
  • Conectar el WiFi
  • Activar el GPS
  • Añadir un contacto a la lista de contactos
  • Enviar y recibir un mensaje SMS y MMS
  • Realizar y recibir una llamada telefónica

Registrando las entradas y salidas de datos del smartphone, F Secure detectó que el smartphone envía el número IMEI (que identifica al móvil), el número de telefóno de la tarjeta SIM, y los números de teléfonos de los contactos y de los SMS recibidos, al servidor api.account.xiaomi.com:

F Secure acusa a Xiaomi de espiar a los usuarios

Xiaomi bate a Samsung en China

Después F Secure se registró y conectó a Mi Cloud, el almacén en la nube de Xiaomi, similar a iCloud. Repitió los anteriores pasos (llamadas, envío de SMS, etc).

Esta vez se enviaron los datos IMSI (que identifican a un usuario dentro de una red celular), así como el identificador IMEI y el número de teléfono.

Parece claro que Xiaomi envía datos personajes cuando se usa el smartphone, aunque F Secure en ningún momento lo califica de espionaje, pues no lo juzga, sólo ha publicado los resultados de las pruebas.

Y aunque podría ser que Xiaomi recopile los identificadores, el número de la tarjeta SIM o los contactos para copias de seguridad o gestión de los servicios en la nube, no está claro para qué recopila otros, como los móviles de los SMS recibidos.

En todo caso, el investigador de F Secure Sean Sullivan no descarta que otros fabricantes hagan lo mismo pues, según comenta, "todos los smartphones no son nada más que un dispositivo de seguimiento en tu bolsillo".

Al final, el bueno de John McAfee va a tener razón...

EDITADO: Hace unos minutos Hugo Barra acaba de publicar un nuevo post en Google+ en donde reitera que Xiaomi no espía a sus usuarios. Explica que este envío de datos que registra F Secure se realiza como parte del testeo del smartphone para comprobar si el usuario puede recibir mensajes gratis a través de Internet (en función de su operadora, localización, red WiFi, etc), y que no se almacena de forma permanente. Aún así reconoce que hay un fallo, porque esta operación se realiza por defecto y sin encriptar, así que han lanzado una actualización de la ROM del smartphone que hará que el envío de estos datos sólo se haga cuando el usuario use la mensajería en la nube, y además se enviarán encriptados.

[Fuente: IBTimes]