Chất "Tàu" trong vụ Xiaomi thu thập dữ liệu người dùng

Xiaomi (Trung Quốc) đang nổi như cồn trên thế giới với việc chỉ trong thời gian ngắn lọt vào top 5 nhà sản xuất smartphone hàng đầu thế giới. Tuy nhiên, qua vụ tai tiếng bí mật thu thập thông tin người dùng, cách ứng xử của Xiaomi cho thấy chất "Tàu" còn quá đậm để trở thành hãng quốc tế.

Vào khoảng trung tuần tháng Bảy vừa qua, bắt đầu từ diễn đàn IMA-Mobile (Hong Kong), một người dùng chia sẻ thông tin chiếc Xiaomi Redmi Note tự động gửi các thông tin cá nhân như tin nhắn, hình ảnh hoặc các tập tin đa phương tiện đến một máy chủ đặt tại Trung Quốc. Quá trình này được thực hiện một cách âm thầm và chỉ xảy ra khi smartphone có kết nối WiFi, để người dùng không hay biết. Đáng chú ý, những ứng dụng này được tích hợp sâu vào firmware của thiết bị, nghĩa là người dùng không thể gỡ bỏ chúng, ngay cả khi root (mở khóa) để truy cập vào quyền quản lý của thiết bị.

Một chiếc Redmi Note có giá 4,7 triệu đồng tại Việt Nam

Tin này sau đó được các báo ở Đài Loan và đặc biệt Việt Nam quan tâm đưa tin. Tuy nhiên, Xiaomi vẫn không hề có phản ứng gì. Đến ngày 22/7, tại sự kiện ra mắt smartphone Xiaomi Mi4, khi bị báo chí chất vấn, đại diện Xiaomi mới giải thích, nhưng chỉ là biện hộ vòng vo bằng cách trích dẫn những chính sách về thỏa thuận sử dụng của người dùng.

Không chỉ có vậy, đại diện Xiaomi khẳng định những cáo buộc về hành vi xâm phạm thông tin người dùng là không đúng sự thật. Rằng chiếc smartphone Redmi Note không tự động upload thông tin cá nhân mà chỉ ghi nhận những sở thích và thói quen sử dụng thiết bị của người dùng để Xiaomi có thể gửi những gói nâng cấp và khuyến nghị các ứng dụng thích hợp để có thể cải thiện hoạt động trên thiết bị.

Xiaomi khẳng định mọi chiếc smartphone đều được đi kèm với tính năng tự động sao lưu lên các dịch vụ lưu trữ đám mây của các hãng sản xuất và tính năng này chỉ được kích hoạt khi có sự đồng ý của người dùng.

Tuy nhiên, hãng này đã cố tình lờ đi một sự thật mà người dùng phản ánh: chiếc Xiaomi Redmi Note tự động gửi thông tin người dùng về máy chủ của hãng ở Trung Quốc mà người dùng không có cách nào vô hiệu hóa được.

Công ty Bkav của Việt Nam sau đó đã thử nghiệm và xác thực ngay cả khi người dùng đã tắt tính năng User Experience Program, không cho phép gửi dữ liệu đi thì việc trao đổi dữ liệu ngầm vẫn diễn ra. Tuy Xiaomi tuyên bố khách hàng được quyền lựa chọn bật/tắt tính năng User Experience Program (thống kê, thu thập thông tin hoạt động cá nhân của người sử dụng) nhưng thử nghiệm thực tế thì dù đã vô hiệu hóa tính năng này nhưng máy vẫn gửi dữ liệu về máy chủ.

Thử nghiệm của Bkav cho thấy máy tự động gửi số điện thoại người dùng tới các máy chủ Trung Quốc

Vào cuối tháng 7, đầu tháng 8, các trang tin tức công nghệ Mỹ như Macmors, PhoneArena, NTDV, Apple Insider, Ubergizmodo, blog Wall Street Journal... lần lượt đưa tin về tai tiếng của chiếc Xiaomi Redmi Note. Lúc này, Xiaomi không thể tiếp tục im lặng. Ngày 30/7, ông Hugo Barra, Phó Chủ tịch Xiaomi - một cựu nhân viên cao cấp của Google phụ trách phát triển Android - đăng bài hỏi đáp các vấn đề về Xiaomi Redmi Note trên tài khoản Google+ để giải thích.

Ông Barra cho đến lúc đó vẫn khẳng định MIUI, giao diện người dùng điện thoại Xiaomi, không bí mật tải ảnh và tin nhắn như thông tin trên mạng. Và Xiaomi không tải lên bất kỳ dữ liệu cá nhân nào mà người dùng không biết. Nói cách khác, như các thiết bị khác, dịch vụ Mi Cloud của Xiaomi cho phép người dùng dự phòng và quản lý thông tin trên "đám mây" cũng như đồng bộ với các thiết bị khác. Mi Cloud được cài đặt mặc định tắt, người dùng phải đăng nhập tài khoản Mi và bật Mi Cloud thủ công. Người dùng có thể tắt Mi Cloud nếu không sử dụng.

Trớ trêu cho ông Barra là ngay sau đó, một công ty bảo mật khác – F-Secure của Phần Lan – tiếp tục chứng minh điện thoại Xiaomi khác - Redmi 1S - bí mật thu thập thông tin người dùng tương tự trường hợp Redmi Note.

Ban đầu, F-Secure không cấu hình tài khoản lưu trữ đám mây Mi Cloud và chỉ đơn giản lắp SIM vào máy, kết nối Wi-Fi, bật GPS, thêm số liên lạc, nghe/gọi điện thoại và trao đổi tin nhắn. Công ty phát hiện tên nhà mạng, số liên lạc và tin nhắn SMS đều được chuyển tiếp đến máy chủ api.account.xiaomi.com. Sau đó, F-Secure đăng nhập Mi Cloud, lặp lại các bước ở trên. Lần này, chi tiết IMSI, số IMEI, số điện thoại được gửi tới địa chỉ như trên, api.account.xiaomi.com.

Trước những bằng chứng rõ ràng và phản ứng gay gắt của dư luận, ông Barra ngày 10/8 tiếp tục đăng đàn trên Google+. Lần này, thay mặt Xiaomi, Barra đã phải xin lỗi vì bất kỳ mối lo ngại nào gây ra cho người dùng, đồng thời tuyên bố tung ra bản cập nhật mới cho ROM MIUI qua đường OTA (cập nhật trực tiếp trên điện thoại) trong cùng ngày. Với bản cập nhật mới, người dùng sẽ phải bật dịch vụ nhắn tin của Xiaomi một cách thủ công.

Hiện nay, thị trường của Xiaomi chủ yếu là ở Trung Quốc, Ấn Độ, Singapore và một số nước khác, trong đó có Việt Nam (qua đường hàng xách tay). Câu hỏi đặt ra là nếu như Xiaomi đã hiện diện ở thị trường châu Âu hoặc Mỹ, thì trước bức xúc của người dùng về bảo mật dữ liệu, họ có thể phản hồi một cách cho có, ban đầu chối bay chối biến như thế không? Chắc chắn là không.

Còn ở các thị trường đang phát triển, như đã nói ở trên, Xiaomi hành xử tỏ ra coi thường người dùng, vòng vo, ngụy biện.... Có lẽ, họ cho rằng những chiếc điện thoại giá rẻ, cấu hình mạnh, thiết kế nhái hàng cao cấp của mình lấn át được mọi quan ngại của đa số người dùng ít tiền.;

Thực tế đã chứng minh không phải vậy. Xiaomi cuối cùng đã phải xin lỗi người dùng. Và tại Singapore, họ đang bị điều tra vì người dùng cáo buộc thiết bị Xiaomi lén lút thu thập thông tin.  

Lan Kiều