Nextren.com - Vendor smartphone Xiaomi baru-baru ini diterpa kabar miring.
Seorang peneliti keamanan bernama Gabi Cirlig menuding, bahwa ponsel bikinan perusahaan asal China tersebut diam-diam merekam aktivitas penggunanya.
Cirlig mengatakan kepada Forbes bahwa ia mendeteksi hal yang tidak wajar di smartphone Redmi Note 8 miliknya.
Ketika ditelusuri, ponsel itu ternyata banyak merekam aktivitasnya dan mengirimkan datanya ke remote server milik Alibaba, yang kemungkinan disewa oleh Xiaomi.
Perekaman aktivitas antara lain dilakukan lewat browser bawaan Xiaomi yang mengumpulkan data situs mana saja yang dikunjungi oleh Craig, hasil penelusuran mesin pencari dengan Google dan DuckDuckGo, serta newsfeed di laman utama browser.
Bahkan, Cirlig mengklaim bahwa browser itu masih tetap merekam aktivitas pengguna meski mode penyamaran (incognito) sedang diaktifkan.
Padahal, esensi mode tersebut adalah untuk menelusuri internet secara privat atau anonymous.
Tak hanya informasi di dalam peramban saja, Cirlig juga mengatakan bahwa ponsel Xiaomi miliknya juga merekam aktivitas lain seperti folder mana saja yang dibuka dan navigasi di layar, termasuk ketika mengakses status bar dan membuka menu Settings.
Dihimpun KompasTekno dari Forbes, Senin (4/5/2020), peneliti keamanan lain, Andrew Tierney, membenarkan temuan Cirlig.
Dia mengungkapkan bahwa peramban Mi Browser Pro dan Mint Browser buatan Xiaomi mengumpulkan data yang sama.
Di luar Redmi Note 8, Cirlig juga mengunduh firmware untuk beberapa ponsel Xiaomi lain seperti Mi 10, Redmi K20, dan Mi Mix 3 yang ternyata memiliki kode browser serupa.
Cirlig pun curiga perangkat-perangkat ini juga merekam aktivitas penggunanya.
Kemudian ada masalah lain karena data pengguna yang direkam dan dikirim ke remote server hanya dilindungi encoding base64 yang lemah.
Cirlig bisa melakukan decoding dalam beberapa detik untuk melihat data apa saja yang dikumpulkan dan dikirim.
"Kekhawatiran saya adalah data yang dikirim ke server mereka bisa dengan mudah dikorelasikan ke pengguna," ujar Cirlig.
Tanggapan Xiaomi
Menanggapi temuan di atas, Xiaomi mengatakan bahwa tudingan Cirlig tidak benar.
Xiaomi mengatakan sepenuhnya menaati hukum dan regulasi setempat terkait persoalan privasi.
Meski demikian, seorang juru bicara Xiaomi mengatakan pihaknya memang mengumpulkan data browsing, sambil mengklaim bahwa informasi yang direkam bersifat anonim sehingga tidak dapat dikaitkan ke pengguna tertentu.
Namun, seperti yang dikemukakan oleh Cirlig dan Tierney, data pengguna yang dikumpulkan bukan hanya berasal dari situs atau pencarian di internet saja, melainkan turut mencakup informasi dari ponsel, termasuk nomor identitas perangkat dan versi OS Android.
Cirlig belakangan juga menemukan bahwa aplikasi music player di ponsel Xiaomi diam-diam juga mengumpulkan data tentang kebiasaannya mendengar lagu, apa saja yang diputar dan kapan.
Dia juga curiga pola penggunaan aplikasinya ikut dipantau, karena ponsel Xiaomi miliknya mengirim informasi ke server tiap kali Cirlig membuka aplikasi.
Forbes mengatakan Xiaomi tidak merespon ketika ditanyai soal ini.
Baik Cirlig maupun Tierney menyebut bahwa perilaku browser Xiaomi lebih invasif dibandingkan peramban lain macam Apple Safari atau Google Chrome.
"Kebanyakan (browser) juga mengumpulkan data analitik, tapi bentuknya berupa informasi penggunaan atau crash, bukan perilaku pengguna atau alamat URL tanpa persetujuan pengguna dan masih direkam walaupun dalam mode privat," ujar Tierney.
Dalam pernyataan yang diunggah ke blog resminya, Xiaomi menegaskan bahwa pihaknya memang mengumpulkan data dengan didului oleh persetujuan pengguna, dan bahwa informasi yang dikirim bersifat anonim dan terenkripsi.
Menurut Xiaomi, pengumpulan data ini dimaksudkan untuk "analisis internal".
Tujuannya memberikan "pengalaman yang lebih baik" dan "meningkatkan kompatibilitas sistem operasi dengan berbagai aplikasi".
"Ini adalah solusi umum yang dilakukan perusahaan-perusahaan internet di seluruh dunia untuk meningkatkan pengalaman pengguna menyangkut berbagai produk, sambil tetap menjaga privasi dan keamanan data," tulis Xiaomi.
Lebih lanjut, pasca mengemukanya laporan Forbes, perusahaan asal China itu turut merombak aplikasi browser Mi Browser, Mi Browser Pro dan Mint Browser.
Sehingga kini browser tersebut menyediakan opsi untuk mematikan pengumpulan data, saat berada dalam mode incognito.
Opsi itu sudah tersedia dalam pembaruan teranyar masing-masing peramban di Google Play Store, yakni Mi Browser/ Mi Browser Pro versi 12.1.4, dan Mint Browser versi 3.4.3.
Artikel ini telah tayang di Kompas.com dengan judul "Ponsel Xiaomi Dilaporkan Diam-diam Merekam Aktivitas Pengguna"
Penulis : Bill Clinten