Xiaomi Risponde al Circolare dell'Aviazione Militare Indiana che la Marca come Minaccia alla Sicurezza

Oggi, un rapporto di The Sunday Standard ha iniziato a circolare nel Twitterverse citando un circolare dell’Aviazione Militare Indiana (IAF) che marchiava Xiaomi come una minaccia alla sicurezza. Il circolare è stato apparentemente inviato dall’IAF al suo personale e ai membri delle loro famiglie, avvertendoli di non utilizzare i telefoni e i dispositivi prodotti dal gigante tecnologico emergente. Xiaomi ha risposto respingendo le preoccupazioni.

Nel suo circolare, l’IAF ha accusato Xiaomi di inviare dati degli utenti a server remoti situati in Cina. La nota è stata preparata dall’unità di intelligence sulla base delle informazioni fornite dal Computer Emergency Response Team indiano (CERT-In) e cita diversi rapporti passati che hanno sollevato interrogativi sulla gestione dei dati privati degli utenti da parte di Xiaomi.

“F-secure, una delle principali aziende di soluzioni di sicurezza, ha recentemente effettuato un test del Xiaomi Redmi 1s, lo smartphone economico dell’azienda, e ha scoperto che il telefono stava inoltrando il nome dell’operatore, il numero di telefono, l’IMEI (l’identificatore del dispositivo) più i numeri della rubrica e dei messaggi di testo a Pechino,” afferma la nota dell’IAF.

Parlando con Technology Personalized, Manu Jain, direttore generale e responsabile delle operazioni in India di Xiaomi, ha cercato di difendere l’azienda e chiarire alcune cose.

Prima di tutto – siamo estremamente cauti nel proteggere i dati degli utenti; siamo conformi al 100% a tutte le leggi locali, comprese quelle relative alla sicurezza dei dati.

Questo è piuttosto simile a ciò che Xiaomi ha detto da quando sono emerse le preoccupazioni all’inizio di quest’anno. Manu ha continuato dicendo:

Offriamo vari servizi basati su internet come Mi Cloud, messaggi basati su cloud, ecc., che richiedono che i dati siano memorizzati nel cloud. Tuttavia, adottiamo misure rigorose per garantire che i dati siano crittografati e protetti mentre vengono inviati al server e non siano memorizzati oltre il tempo necessario. Infatti, abbiamo apportato modifiche al nostro sistema per garantire che Mi Cloud sia disattivato per impostazione predefinita e non invii dati ai server automaticamente. Solo quando un consumatore attiva consapevolmente i servizi di Mi Cloud, i dati vengono salvati.

Le modifiche di cui parla sopra sono arrivate subito dopo il rapporto di F-secure di agosto di quest’anno, che l’IAF cita nella sua nota. Di seguito ci sono i due post del blog di Hugo Barra, il volto globale di Xiaomi, che dettagliano le modifiche apportate.

30 luglio 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
20 agosto 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secure ha chiarito in un rapporto successivo che l’OTA rilasciato da Xiaomi aveva in effetti affrontato le preoccupazioni sulla privacy, in particolare quella che ruotava attorno al servizio di messaggistica di Mi Cloud. Non siamo sicuri di quando esattamente sia stata rilasciata la nota dell’IAF, ma non include i riferimenti alle modifiche apportate dall’azienda da agosto di quest’anno. È interessante notare che Hugo Barra ha appena pubblicato riguardo alla decisione di Xiaomi di spostare i propri data center e server al di fuori della Cina. È una semplice coincidenza o Xiaomi è stata costretta ad annunciare questo dopo che la notizia sulla nota dell’IAF è stata pubblicata? La tua ipotesi è buona quanto la mia. Nel suo post, Hugo Barra spiega-

All’inizio del 2014, abbiamo avviato un enorme sforzo interno per espandere la nostra infrastruttura server a livello globale per servire meglio i fan di Mi ovunque… Il nostro obiettivo principale nel passare a un’architettura server multi-sito era migliorare le prestazioni dei nostri servizi per i fan di Mi in tutto il mondo, ridurre la latenza e abbattere i tassi di fallimento. Allo stesso tempo, ci consente anche di mantenere elevati standard di privacy e di conformarci alle normative locali sulla protezione dei dati. Xiaomi sta pianificando il processo di migrazione dei server e dei dati in tre fasi – migrazione dell’e-commerce, migrazione dei servizi MIUI e centri dati locali. Per raggiungere questo obiettivo, Xiaomi sta cercando di spostare i server di dati su Amazon Web Services (AWS) con sede in California, USA. Entro la fine di quest’anno, i servizi MIUI e i dati corrispondenti di tutti gli utenti non cinesi dovrebbero essere spostati dai centri dati di Beijing a quelli di Amazon AWS in Oregon (USA) e Singapore. Questa è una mossa significativa per affrontare le preoccupazioni sulla privacy degli utenti. Il mercato indiano è piuttosto significativo per Xiaomi e non possono continuare con preoccupazioni di sicurezza e privacy che pendono sopra la loro testa. È vero che l’azienda ha risposto rapidamente per rilasciare una correzione per la maggior parte di questi problemi, ma non è riuscita a spiegare o difendersi sul perché un tale problema fosse presente in primo luogo. Attualmente, l’azienda sta affrontando un’indagine sulla sicurezza informatica a Taiwan per motivi simili. Secondo la legge nella Cina continentale, le aziende che memorizzano dati sul suolo cinese devono conformarsi a qualsiasi richiesta di dati da parte del governo. Spostando completamente i dati al di fuori dei territori cinesi, Xiaomi dimostrerà la serietà associata a tali questioni. Anche se ha avviato le sue operazioni in India in grande stile, Xiaomi ha un enorme compito da svolgere per liberarsi completamente dei suoi tag cinesi e essere vista come un’azienda globale. Secondo Hugo Barra, nel 2015, l’azienda prevede di collaborare con fornitori di centri dati locali per localizzare completamente l’infrastruttura server, in particolare in India e Brasile. Oltre ad accelerare il servizio per gli utenti in questi mercati, si spera che possa tagliare l’angolo cinese, almeno fino a un certo punto. Parole vuote sulla valorizzazione della sicurezza dei dati degli utenti non basteranno. Azioni reali come quelle pianificate sopra sono molto necessarie.