Các nhà nghiên cứu đã xem xét một trình duyệt web được tải, cài vào điện thoại của Xiaomi và phát hiện ra rằng nó đang theo dõi gần như tất cả các hành vi web của người dùng bao gồm các trang web đã truy cập, truy vấn tìm kiếm trong Google và mọi thứ xuất hiện trong nguồn cấp tin tức của điện thoại ngay cả khi họ đang ở chế độ ẩn danh.
Theo Android Central, nhà nghiên cứu bảo mật Gabi Cirlig nói rằng thiết bị Xiaomi cũng ghi lại những thư mục người dùng đã mở và màn hình họ vuốt, bao gồm thanh trạng thái và trang cài đặt. Tất cả dữ liệu đã được đóng gói và gửi đến các máy chủ từ xa ở Singapore và Nga, mặc dù tên miền web mà họ lưu trữ đã được đăng ký tại Bắc Kinh.
Sau khi báo cáo được đưa ra, Xiaomi đưa ra tuyên bố cho biết công ty đã thất vọng khi đọc bài báo từ Forbes và cảm thấy họ đã hiểu sai những gì công ty thực hiện liên quan đến các nguyên tắc và chính sách bảo mật dữ liệu của mình. Xiaomi khẳng định rằng quyền riêng tư và bảo mật internet của khách hàng là ưu tiên hàng đầu tại công ty và công ty tuân thủ nghiêm ngặt cũng như đầy đủ luật pháp lẫn quy định địa phương.
Quay trở lại với báo cáo của Forbes, Xiaomi được cho là thu thập nhiều thứ hơn chỉ đơn giản là dữ liệu duyệt web chung, điều khiến nhiều người mất niềm tin vào công ty. Trong khi mọi người chấp nhận sự thật là các nhà cung cấp dịch vụ và nhà mạng có thể truy cập vào một số dữ liệu của họ ở chế độ ẩn danh nhưng đối với một nhà sản xuất trình duyệt, điều này là vi phạm.
Đáng nói hơn, Forbes đã cung cấp cho Xiaomi một video do Cirlig thực hiện cho thấy cách Google Search với nội dung khiêu dâm và hoạt động truy cập đến trang web PornHub đã được gửi đến các máy chủ từ xa ngay cả khi ở chế độ ẩn danh.
Tờ Forbes cho rằng, Xiaomi thu thập dữ liệu thông qua hai trình duyệt web có sẵn trên kho ứng dụng Google Play, Mi Browser Pro và Mint Browser. Các trình duyệt này có tổng cộng 15 triệu lượt tải xuống, theo thống kê của Google Play.
Trong khi Xiaomi nói rằng dữ liệu được mã hóa, các nhà nghiên cứu nói rằng mức độ mã hóa là yếu và do đó có thể dễ dàng truy xuất ra người dùng cụ thể. Các nhà nghiên cứu chỉ mất vài giây để giải mã dữ liệu được mã hóa, được mã hóa bằng một phương pháp gọi là base64.
Vấn đề là Xiaomi đã bác bỏ tuyên bố của các nhà nghiên cứu. Hãng điện thoại Trung Quốc khẳng định "hoàn toàn tuân thủ luật pháp và quy định sở tại về các vấn đề riêng tư dữ liệu của người dùng".