Xiaomi risponde alle accuse di inserire backdoor negli smartphone

Xiaomi è uno dei più grandi produttori di smartphone in tutto il mondo, di anno in anno la propria quota di mercato è in crescita. Fondata nel 2010, la società cinese risulta essere il quinto produttore al mondo di smartphone, secondo i dati di Gartner relativi al secondo trimestre 2016, dietro a Samsung, Apple, Huawei e Oppo ma davanti a Sony, HTC, LG, e tutti gli altri. Xiaomi è riuscita a raccogliere una quota di mercato del 15 per cento in un paio di anni, e lanciando sul mercato pochi smartphone, ma con hardware degni dei concorrenti top di gamma e accessibili ai consumatori. In passato, vari rapporti hanno accusato la compagnia di pre-installare adware, spyware e altri tipi di software dannosi sui propri dispositivi. Ora, l’azienda ha deciso di rispondere a tali accuse una volta per tutte, e di spiegare in particolare il funzionamento di un’app che pre-installa nei propri device accusata di mettere a rischio la privacy degli utenti.

‘Privacy’ e ‘sicurezza’ sono due parole molto importanti e due aspetti dibattuti della nuova era tecnologica che stiamo vivendo, specie dopo il famoso scandalo Dategate firmato Edward Snowden, con le persone che si sentono sempre meno al sicuro quando utilizzano tablet e smartphone per comunicare con le altre persone (vedi i servizi di messaggistica come Whatsapp o Messenger) o usano i servizi di cloud per salvare i propri file su server altrui. Di recente, lo studente di informatica da Paesi Bassi Thijs Broenink ha controllato le applicazioni che Xiaomi installa nei suoi dispositivi, in particolare nel popolare Xiaomi MI4, scoprendo che la app AnalyticsCore precaricata e sempre in esecuzione in backgroud si aggiorna in automatico all’insaputa dell’utente, e provando ad eliminarla ricompare (quindi di fatto non si puo’ eliminare). A cosa serve questa app? Si è scoperto che continua a inviare e ricevere dati con i server della società cinese, ma di che dati si tratta? Informazioni sensibili degli utenti?

Questa applicazione, secondo Broenink, verifica la presenza di aggiornamenti per lo smartphone sui server di Xiaomi ogni 24 ore, e invia "tutti i tipi di informazioni" ai server della società. Questa applicazione anche installa automaticamente eventuali aggiornamenti software dai server di Xiaomi, se disponibili, tutto all’insaputa dell’utente, che è ciò che rende il comportamento di questo software strano, e che apparentemente viene considerato un pericolo per la privacy da Broenink.

La società ha cercato di dare una risposta ufficiale a Broenink, scrivendo che: "AnalyticsCore è parte del sistema MIUI che viene utilizzato dai componenti di MIUI [l’interfaccia utente] con lo scopo di analizzare dei dati per aiutare a migliorare l’esperienza utente, ad esempio tramite MIUI Error Analytics. Come misura di sicurezza, MIUI controlla la firma dell’app Analytics durante l’installazione o l’aggiornamento per garantire che solo l’APK con firma ufficiale e corretta possa essere installato. Qualsiasi APK senza una firma ufficiale non si puo’ installare. AnalyticsCore è fondamentale per garantire una migliore esperienza utente, supporta una funzione di auto-aggiornamento. A partire da MIUI V7.3 rilasciata nel mese di aprile / maggio, [la connessione sicura] HTTPS è stata abilitata per un trasferimento dei dati più sicuro, per prevenire eventuali attacchi di tipo man-in-the-middle".

Stando alla dichirazione di Xiaomi, Broenink ha ragione, nel senso che l’app invia informazioni di continuo ai server della società sull’utilizzo del dispositivo ma al solo scopo di migliorare l’esperienza d’uso per l’utente e tenere aggiornato il software, scaricando ed installando in automatico aggiornamenti qualora fossero disponibili.

Broenink aveva espresso preoccupazione sulla sua considerazione del fatto che qualsiasi app sotto il nome di AnalyticsCore puo’ essere installata, costituendo di fatto una sorta di backdoor. Xiaomi, invece, ha specificato che l’app si installa o si aggiorna solo se viene verificata la firma digitale, quindi teoricamente malintenzionati non possono sfruttare il nome di questa applicazione per installare propri file apk contenenti del codice malevolo (a meno che non rubino la firma digitale di Xiaomi).

Riassumendo, l’applicazione AnalyticsCore è un’app che è sempre attiva nei telefoni di Xiaomi, si aggiorna in continuazione e scambia informazioni con i server di Xiaomi attraverso una connessione sicura – resta il dubbio di quale fine fanno i dati raccolti dagli smartphone degli utenti.