Móviles de Xiaomi como el Redmi 1S mandan tus datos a servidores remotos

Escrito por José Luis
Android

En los días pasados nos hacíamos eco de una información que venía a contar que los dispositivos de Xiaomi son bastante más curiosos de lo que un usuario normal desearía, ya que entre sus muchas características estaría una bastante ¿peligrosa? como es la de curiosear en todos nuestros datos y enviarlos más tarde a servidores remotos a través de aplicaciones calificadas como de Spyware. Así que los chicos de F-Secure han querido ver si esto es cierto con un Xiaomi Redmi 1S.

Y de primeras os podemos decir que, efectivamente, nada más encender el móvil y empezar a cacharrear con él ya detectaron los primeros envíos de información a los servidores de Xiaomi. Para llevar a cabo este test, desde F-Secure tomaron una serie de precauciones y han publicado ahora todo el proceso, así como lo que ocurría en cada uno de esos pasos que daban.

Lo primero fue sacar el Xiaomi Redmi 1S de la caja, completamente nuevo y encenderlo pero sin configurar ninguna cuenta (¿de Google?) ni servicio en la nube. Más tarde, procedieron a realizar las sigueintes tareas por este orden:

  • Meter la tarjeta SIM
  • Conectar el Xiaomi Redmi 1S a una red Wifi
  • Permitir los servicios de localización GPS
  • Añadir un nuevo contacto a la agenda
  • Enviar y recibir un SMS
  • Enviar y recibir un MMS
  • Hacer y recibir una llamada de teléfono

¿Sabéis lo que ocurrió? Bueno, pues lo primero que comprobaron es que ya en su arranque, el Xiaomi Redmi 1S enviaba los datos del operador así como el IMEI y el número de teléfono que estamos usando con él. La dirección de envío de esos datos es la misma que podéis ver en la imagen inferior, en el apartado Host. Y ahí no quedó la cosa: más tarde, tanto los teléfonos añadidos a la agenda como los SMS recibidos también fueron enviados a la misma dirección.

xiaomi_redmi_1s_data

Como los chicos de F-Secure ya no debían tenerle miedo a nada a esas alturas del test, se animaron a introducir en el Xiaomi Redmi 1S una sesión en Mi Cloud, el servicio de almacenamiento online de Xiaomi y el resultado fue el mismo: los detalles IMSI también fueron transmitidos a api.account.xiaomi.com.

Desde la compañía de seguridad advierten que este es un simple ‘test rápido’ efectuado para verificar que esa transmisión de información se produce. Pero no han dado el paso de añadir otras cuentas de servicios habituales que usamos a diario como Google, Dropbox, etc. Así que toca esperar a ver si hay algún valiente que no le tema a Xiaomi.

Por cierto, los de Hugo Barra han querido salir al paso con una declaración donde despejan las dudas que cualquier usuario pueda haber tenido por ‘culpa’ de estas noticias. Abajo tenéis el link (y debajo del texto en Facebook un link a la traducción).

Fuente: F-Secure / Comunicado de Xiaomi