문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 샤오미 (문단 편집) === [[백도어]] 논란 === 편의상 백도어 논란 항목으로 작성하였지만 실제로 악의적인 백도어가 발견된 적은 '''없다'''. [[샤오미#s-3.4|리투아니아의 검열 기능 주장]]을 계기로 조사에 착수했던 독일 연방정보보안청(BSI)은 샤오마 스마트폰에서 검열 징후나 보안 문제가 발견되지 않았으며 추가 조사나 다른 조치가 필요하지 않다고 2022년 1월에 조사 결과를 밝혔다. [[https://marketresearchtelecast.com/bsi-finds-neither-security-gaps-nor-indications-of-censorship-in-xiaomi-smartphones/241731/|#]] 2014년 7월, 샤오미가 IMEI와 기기 전화번호, 연락처 등의 개인정보를 샤오미 서버로 전송한다는 의혹이 제기되어 프라이버시 논란이 생겼다. 이후 이는 MIUI 클라우드 메시징 서비스가 기본으로 활성화되어 있기 때문에 생긴 문제로 밝혀졌으며 이 기능을 옵트인[* 사용자가 직접 활성화하기 전엔 비활성화되어 있음]으로 바꿈으로써 해결하였다. 자세한 사항은 [[Redmi Note 1 시리즈#s-4|항목 참조]]. 2016년 9월, 네덜란드 출신의 한 컴퓨터과학부 학생이 샤오마 디바이스에서 AnalyticsCore라는 앱을 발견하고 분석했다. [[http://blog.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/|#]] 이 앱은 백그라운드에서 계속 돌아가며 사용자 동의 없이 회사 공식 앱을 설치하는 기능이 있었고 스마트폰의 기기 식별 정보[* IMEI, 모델명 등]가 전송된다고 한다. 그러나 [[https://news.slashdot.org/story/16/09/15/1923220/|기술 커뮤니티]]의 일부 유저들도 지적하고 있듯이, 이 기능을 가지고 샤오미가 악의적인 백도어를 심었다고 하는 건 억지 논리다. 왜냐하면 HTC, 소니, 삼성, Google 등 '''거의 모든 제조사가 하고 있는 일'''이기 때문이다.[* 예를 들면 삼성은 [[갤럭시 노트7 폭발 사고]] 때 배터리를 제한하는 강제 업데이트를 실시했다.] "앱이 자동으로 설치된다"고 말하면 무섭게 들릴지 몰라도 그게 결국 [[OTA#s-2|OTA]]가 하는 일이다. 애초에 발견자가 분석글에서 문제를 삼은 것도 해커가 취약점을 이용하여 해당 기능을 악용할 수 있는 가능성이지, 해당 기능이 있는 것 자체를 백도어라고 비난한 것이 아님에도 악의적인 백도어가 있는 것처럼 와전되었다. 그리고 이후 샤오미는 악용 가능성에 대해, 공식 서명이 정확한 앱만을 설치한다고 해명하였다. [[https://thehackernews.com/2016/09/xiaomi-android-backdoor.html|#]] 2020년 1월 Mijia IoT 카메라를 Google Nest Hub에 연결한 유저가 실시간 카메라 피드를 실행했을 때, 다른 가정에 설치된 카메라의 영상이 송출되는 현상이 보고되었다. Google은 샤오미와 함께 이 문제를 해결하기 위해 긴밀한 연락을 취하고 있으며 그동안 Google 기기와 샤오미 기기 간의 연결을 중단할 것이라고 밝혔다. [[https://news.v.daum.net/v/20200104140224613|#]] 샤오미는 이 현상이 카메라 스트리밍 화질을 개선하기 위한 캐시 업데이트로 인해 발생했다고 설명했다. 이후 샤오미와 Google이 협력하여 문제를 해결했으며 샤오마 기기와 Google 기기의 연동이 재개되었다. [[https://www.xda-developers.com/google-temporarily-kills-xiaomi-mi-home-integration-security-camera-bug/|#]] 2020년 4월에는 [[Forbes]]가 Mi Browser의 정보 수집 문제를 제기하면서[* [[https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/?sh=8689c0e1b2a7|#]]] 논란이 되자 샤오미는 본사 차원에서 소스 코드를 포함한 해명문을 올렸다. [[https://bbs.ruliweb.com/mobile/board/300009/read/2174120|#]] 이에 대해 다시 문제가 제기되자[* [[https://bbs.ruliweb.com/news/board/1004/read/2174134?|#]]] 이 부분에 대해서도 바로 업데이트가 배포되었다. [[https://c.mi.com/thread-3047767-1-1.html|#]] 사실 이 논란에는 합당한 비판도 있지만 거기에 여러 악의적인 선동이 덧붙여지면서 논란이 커졌는데, 그럼에도 샤오미가 적극적으로 대응하면서 빠르게 논란을 진정시켰다고 볼 수 있다. 문제가 되었던 부분을 요약하면 다음과 같다. * Mi Browser가 방문한 사이트의 URL을 샤오미 서버로 전송한다 이러한 '익명'[* 이 '익명성'의 정도는 어떤 식별자를 사용하느냐에 따라 달라진다] 통계 수집 기능은 거의 모든 주요 웹 브라우저가 다 하고 있는 일이다.[* [[https://www.scss.tcd.ie/Doug.Leith/pubs/browser_privacy.pdf|브라우저 프라이버시에 관한 논문]] 및 [[https://www.reddit.com/r/sysadmin/comments/fgvyju/microsoft_edge_browser_is_more_privacyinvading/|일부 요약]]] 예를 들어 Firefox는 앱을 재시작하더라도 유지되는 식별자를 사용하여 통계를 전송한다. Chrome, Safari는 재설치 시에도 유지되는 식별자를 사용한다. Edge는 한술 더 떠서 하드웨어 고유식별자(MAC 주소)를 수집한다. 이들에 비하면 Mi Browser는 일정 시간마다 랜덤으로 생성되는 임시 식별자를 사용하므로 오히려 더 개인정보를 존중하는 방식이라고 할 수 있다. 만약 업계 전체에 대해 이러한 방식을 문제삼는 거라면 합당한 비판이었겠지만, 이를 알리지 않고 특정 기업을 공격하기 위해 그 기업만 하는 일인 것처럼 왜곡한다면 문제가 있다. * 샤오미가 데이터를 전송할 때 몇 초 만에 매우 쉽게 해독할 수 있는 [[BASE64|Base64]]로 인코딩을 한다. Base64는 '암호화'에 쓰이는 알고리즘이 아니라 데이터를 (전송의 편의성 등을 이유로) [[ASCII]] 문자열로 인코딩하고 다시 디코딩하기 위해 쓰는 알고리즘이다.[* 예를 들어 [[HTML]] 코드에 이미지를 넣을 때 이미지 파일 대신 이미지 데이터 바이너리를 Base64로 인코딩한 결과를 넣을 수 있다.] 그러므로 '해독'이 쉽고 빠른 건 당연하다. 원래 그러라고 만든 알고리즘이니까. 샤오미가 해명문에서도 언급했듯이 이렇게 Base64로 인코딩된 데이터는 [[TLS]]로 암호화되어 전송된다. 암호화 전의 내용이 암호화되어 있지 않다고 비난하는 건 당연히 억지 비난이고 프로그래밍 커뮤니티에서의 반응도 동일하다. [[https://www.reddit.com/r/programming/comments/gbliwu/comment/fp6ilyy/?utm_source=share&utm_medium=web2x&context=3|#]] * 웹 브라우저의 익명 통계 수집이 시크릿 모드에서도 동작한다 이 부분은 유일하게 합당한 비판이라고 볼 수 있다. 사람들이 시크릿 모드를 사용하면서 기대하는 것과 다르고[* 시크릿 모드에 대한 브라우저 개발사와 사람들의 인식 차이에 대해 [[Avast]]에서도 글을 쓴 적이 있다. [[https://blog.avast.com/the-privacy-of-private-browsing-is-greatly-exaggerated|#]]] 다른 브라우저는 그러지 않는다고 알려졌기 때문이다.[* 다만 이후 [[Chrome]]도 마찬가지라는 게 밝혀졌다.] 샤오미는 이 부분에 대해 업데이트로 데이터 수집을 끄는 옵션을 제공했다. 한편 이후 Google의 [[Chrome]]도 마찬가지로 시크릿 모드에서 데이터 수집을 하는 것으로 알려지면서 논란에 휩싸이고 소송까지 걸렸다. [[https://zdnet.co.kr/view/?no=20210315082649|#]] Google 측에서는 "시크릿 모드는 보이지 않는다는 의미가 아니란 점을 이용자들에게 분명히 해 왔다"는 입장이다. 현재 다른 웹 브라우저도 시크릿 모드에서 데이터를 수집하는지 여부는 알려지지 않았다. 샤오미는 중국 기업뿐만 아니라 다른 나라의 IT 기업들과 비교해도 백도어 논란에 대처를 잘한 것으로 평가받는다. 동작 과정이나 구현 방식에 대해서 자세하게 설명하고 소스코드를 포함한 해명문을 올리기도 하고 빠른 피드백을 준다. 사실 그럴 수밖에 없는 게 샤오미의 시작 자체가 [[커스텀 펌웨어|Android 커스텀 롬]] 개발이며 이후에도 소스코드를 공개하면서 개발자 친화적인 행보를 보여왔다. 그래서 커뮤니티 개발자들이 자발적으로 분석해서 샤오미 공식 해명보다도 더 자세하게 해명해 줄 정도다. 그래서 [[샤오미]]는 [[화웨이]]나 [[ZTE]] 등에 비하면 한국에서의 이미지도 나은 편이다. 2023년 [[arXiv]]에 중국 스마트폰 제조사(샤오미, [[OnePlus]], [[Realme]])의 중국 ROM의 개인정보 수집에 대해 연구한 논문이 업로드되었다[* H. Liu, D. J. Leith, P. Patras, "Android OS Privacy Under the Loupe -- A Tale from the East", arXiv:2302.01890 \[cs.CR\]. [[https://arxiv.org/abs/2302.01890|#]]]. 이 연구를 통해 샤오미, OnePlus, Realme 모두 중국 내수용 펌웨어(China ROM)에서 불필요한 중국산 선탑재 앱들이 과도한 권한을 가지고 있을 뿐만 아니라, "사용 및 진단 데이터 보내기" 같은 개인정보 수집 관련 옵션을 모두 비활성화하더라도 비익명화(deanonymization) 가능한 정보를 과도하게 수집한다는 사실이 밝혀졌다. 단, 중국 스마트폰들은 같은 기종이라도 중국 시장에 풀리는 펌웨어와 글로벌 시장에 출시되는 펌웨어가 서로 다른데, 글로벌 펌웨어를 사용할 경우 중국산 선탑재 앱이나 과도한 개인정보 수집 문제는 대부분 해당되지 않는다. 같은 연구자의 다른 논문에 따르면[* Liu H, Patras P, Leith DJ (2023) On the data privacy practices of Android OEMs. PLOS ONE 18(1): e0279942. [[https://doi.org/10.1371/journal.pone.0279942|#]]], 글로벌롬 기준으로는 오히려 화웨이(!)나 샤오미가 삼성 갤럭시보다 비익명화 가능한 식별자 사용 등에 있어서 나은 점수를 받았다. 물론 샤오미 글로벌롬에도 큰 문제가 있는데, 바로 '''휴대폰에 설치된 앱을 켜고 끈 시간'''을 기기 고유 식별자, Google 광고 ID와 함께 수집한다는 것. [[https://trust.mi.com/docs/miui-privacy-white-paper-global/4/10|샤오미 신뢰 센터]]에 따르면 이것은 기기의 "설정 > 비밀번호 및 보안 > 개인정보 > 사용 및 진단"에서 비활성화할 수 있는 것으로 나와 있다. 2023년 9월에는 MIUI 14 버전으로 업데이트한 일부 사용자들이 자신의 크롬 홈페이지가 별다른 안내나 고지 없이 [[https://mintnav.com/|mintnav]]이라는 정체불명의 사이트로 변경되었다고 보고했다. [[https://xiaomiui.net/xiaomi-secretly-replaces-chrome-homepage-with-a-malware-website-49721/|관련 기사]] 샤오미는 이후 해당 웹사이트는 자사와 제휴한 업체라고 밝혔으며, 원하는 경우 크롬 홈페이지를 다른 웹페이지로 변경하면 된다고 발표해 빈축을 샀다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기