Cybersicherheitsforscher haben Hinweise darauf gefunden, dass die Browser von Xiaomi auch im Inkognito-Modus Browserdaten sammeln. Lesen Sie weiter, um mehr zu erfahren!
Update 3 (21.05.2020 um 01:48 Uhr ET): Xiaomi hat seine Browsereinstellungen aktualisiert, um ihren Zweck klarer zu machen und bisherige Verwirrung zu beseitigen.
Update 2 (05.03.2020 um 10:14 Uhr ET): Xiaomi hat in seinem aktualisierten Blogbeitrag erwähnt, dass seine Browser mit einer Option aktualisiert werden, mit der Benutzer das Tracking im Inkognito-Modus deaktivieren können.
Update 1 (01.05.2020 um 15:36 Uhr EST): Xiaomi hat als Reaktion auf diese Vorwürfe einen Blogbeitrag veröffentlicht. Scrollen Sie nach unten für das Update. Die Originalgeschichte, veröffentlicht am 1. Mai 2020 um 06:18 Uhr EST, lautet wie folgt.
Es herrscht Einigkeit darüber, dass Xiaomi-Smartphones zu jedem Zeitpunkt zu den preiswertesten Käufen auf dem Markt gehörten. Packe einige ein Wahnsinnige Hardware zu teilweise sehr lukrativen Preisen,
insbesondere am unteren Ende des Smartphone-Marktes, diese Telefone stellen ein Angebot dar, das viele Leute einfach nicht ablehnen können. Xiaomi ist auch auf die Bedürfnisse der Entwickler-Community eingegangen, mit Entscheidungen wie: Ermöglicht das Entsperren des Bootloaders, ohne die Herstellergarantie zu beeinträchtigen – eine Kombination, die viele andere beliebte OEMs verwerfen und gleichzeitig deutlich verbessern Kernel-Quellversionen. Diese Gründe machen sie zu einem der beliebtesten Geräte in unseren Foren, und sie haben sich diesen Platz der Beliebtheit zu Recht verdient.Jüngste Berichte von Sicherheitsforschern deuten jedoch auf ein besorgniserregendes Datenschutzproblem bei Xiaomis Webbrowsern hin. Forbes-Mitarbeiter und Mitherausgeber für Cybersicherheit Thomas Brewster, zusammen mit Cybersicherheitsforschern Gabriel Cirlig Und Andrew Tierney kürzlich in einem Bericht abgeschlossen dass die verschiedenen Webbrowser von Xiaomi Daten an Remote-Server sendeten. Sie behaupten, dass die gesendeten Daten einen Verlauf aller besuchten Websites, einschließlich der URLs, enthielten. alle Suchmaschinenanfragen und alle im Xiaomi-Newsfeed angezeigten Artikel sowie das Gerät Metadaten. Das Besorgniserregende an diesem Vorwurf der Datenerfassung ist, dass diese Daten auch dann erfasst werden, wenn Sie scheinbar mit aktiviertem „Inkognito-Modus“ surfen.
Diese Datenerfassung erfolgt offenbar auch im vorinstallierten Aktienbrowser von MIUI Mi Browser Pro Und Mint-BrowserBeide stehen im Google Play Store zum Download zur Verfügung. Zusammen haben diese Browser über 15 Millionen Downloads im Play Store, während der Standardbrowser auf allen Xiaomi-Geräten vorinstalliert ist. Zu den getesteten Geräten gehören das Xiaomi Redmi Note 8, das Xiaomi Mi A1, das Xiaomi Mi 10, das Xiaomi Redmi K20 und das Xiaomi Mi Mix 3. Es gab keinen Unterschied zwischen Xiaomis Android One- oder MIUI-Geräten, da der Sammlungscode ohnehin im Standardbrowser zu finden war. Daher scheint dieses Problem nicht MIUI-zentriert zu sein, sondern hängt davon ab, ob Sie einen dieser drei Browser auf Ihrem Gerät verwenden, unabhängig vom zugrunde liegenden Betriebssystem. Andere Browser wie Google Chrome und Apple Safari sammeln weitaus weniger Daten und beschränken sich auf Nutzungs- und Absturzanalysen.
Xiaomi antwortete, indem es scheinbar bestätigte, dass die von ihm gesammelten Browserdaten vollständig mit den örtlichen Gesetzen und Vorschriften zum Datenschutz der Benutzer übereinstimmten. Die gesammelten Informationen wurden mit Zustimmung des Benutzers anonymisiert. Allerdings bestritt das Unternehmen die Behauptungen in der Untersuchung.
Die Forschungsbehauptungen sind unwahr. Datenschutz und Sicherheit haben oberste Priorität.
Dieses Video zeigt die Sammlung anonymer Browserdaten, eine der am häufigsten verwendeten Lösungen Internetunternehmen, um das gesamte Browser-Produkterlebnis durch die Analyse nicht persönlich identifizierbarer Daten zu verbessern Information.
Die Forscher hielten diesen Anspruch auf Anonymität jedoch für zweifelhaft. Die von Xiaomi gesendeten Daten waren zwar „verschlüsselt“, jedoch in Base64 kodiert, was leicht entschlüsselt werden kann. Da können die Browserdaten sein eher trivial entschlüsselt, und da die gesammelten Daten auch Gerätemetadaten enthielten, konnten diese Browsing-Daten scheinbar ohne großen Aufwand mit den Aktionen einzelner Benutzer in Zusammenhang gebracht werden.
Darüber hinaus stellten die Forscher fest, dass die Xiaomi-Browser Domänen im Zusammenhang mit Sensoren anpingten Analytics, ein chinesisches Startup, auch bekannt als Sensors Data, bekannt für die Bereitstellung von Verhaltensanalysen Dienstleistungen. Die Browser enthielten auch eine API namens SensorDataAPI. Auch Xiaomi ist auf der als Kunde aufgeführt Website von Sensors Data.
Xiaomi hat auf den Forbes-Bericht in mehreren Punkten dementiert:
Während Sensors Analytics eine Datenanalyselösung für Xiaomi bereitstellt, sind die gesammelten Daten anonym werden auf Xiaomis eigenen Servern gespeichert und nicht an Sensors Analytics oder andere Dritte weitergegeben Firmen.
Gegen Xiaomis Dementi antworteten die Forscher mit Weiterer Beweis ihrer Datenerfassungspraxis.
Aufgrund der verfügbaren Informationen scheint es bei der Funktionsweise dieser Browser ein besorgniserregendes Datenschutzproblem zu geben. Wir haben Xiaomi um weitere Kommentare zu diesen Behauptungen gebeten.
Quelle: Forbes
Update 1: Xiaomi antwortet in einem Blogbeitrag
In einem (n offizieller Blogbeitrag Auf Mi.com wies Xiaomi die Vorwürfe einer Verletzung der Privatsphäre der Nutzer entschieden zurück.
„Xiaomi war enttäuscht, den aktuellen Artikel von Forbes zu lesen. Wir haben das Gefühl, dass sie unsere Mitteilungen bezüglich unserer Datenschutzgrundsätze und -richtlinien missverstanden haben. Die Privatsphäre und Internetsicherheit unserer Benutzer hat bei Xiaomi oberste Priorität; Wir sind davon überzeugt, dass wir die örtlichen Gesetze und Vorschriften strikt befolgen und vollständig einhalten. Wir haben uns an Forbes gewandt, um Klarheit über diese bedauerliche Fehlinterpretation zu schaffen.“
Das Unternehmen bestätigt, dass es „aggregierte Nutzungsstatistikdaten“ sammelt, darunter „Systeminformationen, Präferenzen, Nutzung von Benutzeroberflächenfunktionen, Reaktionsfähigkeit, Leistung, Speichernutzung und Absturzberichte.“ Sie geben an, dass diese Informationen „nicht allein zur Identifizierung einer Person verwendet werden können“. Sie bestätigen dass URLs gesammelt werden, dies aber geschieht, um „Webseiten zu identifizieren, die langsam laden“, damit sie herausfinden können, „wie das Surfen insgesamt am besten verbessert werden kann“. Leistung."
Als nächstes gibt das Unternehmen an, dass der individuelle Browserdatenverlauf synchronisiert wird, dies jedoch nur dann geschieht, wenn „der Benutzer bei Mi Account angemeldet ist … und die Datensynchronisierungsfunktion eingestellt ist.“ unter „Einstellungen“ auf „Ein“ setzen.“ Sie bestreiten, dass Browserdaten, abgesehen von den oben genannten aggregierten Nutzungsstatistikdaten, synchronisiert werden, wenn der Benutzer den Inkognito-Modus aktiviert hat.
Xiaomi veröffentlichte daraufhin Screenshots von Codeschnipseln aus einer ihrer Browser-Apps (sie gaben jedoch nicht an, um welchen Browser es sich handelte), von denen sie behaupten, dass sie ihre Argumente verdeutlichen. Das erste Code-Snippet zeigt laut Xiaomi eine dekompilierte Methode dafür, „wie [sie] zufällig generierte eindeutige Token erstellen, um sie an aggregierte Nutzungsstatistiken anzuhängen“. Sie geben an, dass „diese Token entsprechen keiner Person.“ Der nächste Codeausschnitt stammt scheinbar aus dem Quellcode des Browsers und zeigt eine Methode dafür, „wie der Mi-Browser im Inkognito-Modus funktioniert, wobei Nr Die Browserdaten der Benutzer werden synchronisiert.“ Das dritte Code-Snippet zeigt, dass die aggregierten Nutzungsstatistiken, die Xiaomi sammelt, „auf Xiaomis Domain gespeichert“ und nicht an Sensor weitergeleitet werden Analytik. Schließlich zeigt das vierte Bild „, dass Nutzungsstatistikdaten mit dem HTTPS-Protokoll der TLS 1.2-Verschlüsselung übertragen werden.“
Um das Ganze abzurunden, nennt Xiaomi noch vier Zertifizierungen, die seine Software von TrustArc und der British Standard Institution (BSI) erhalten hat. Zu diesen Zertifizierungen gehören ISO27001:2013, ISO27018:2014, ISO29151:2017 und TRUSTe.
Als Antwort auf diesen Blogbeitrag äußerte sich der Cybersicherheitsforscher Andrew Tierney ging zu Twitter um Xiaomis Behauptungen zu widerlegen. Er gibt an, dass er und mehrere andere die Ergebnisse auf mehreren Geräten erneut bestätigt haben – dass es „keinen Zweifel daran gibt, dass der Mint-Browser dabei Suchbegriffe und URLs sendet.“ im Inkognito-Modus.“ Er gibt an, dass der von Xiaomi veröffentlichte Code nicht beweist, dass ihre „zufällig generierten einzigartigen Token“ nicht mit Einzelpersonen verknüpft werden können. Die Forscher stellen fest, dass die UUID dies zu tun scheint bleiben über Browsersitzungen hinweg bestehen und nur Änderungen wenn der Browser neu installiert wird. Auch ob Xiaomi die Daten nur auf eigenen Servern oder anderswo speichert, war für den Forscher kein Streitpunkt. Darüber hinaus gibt der Forscher an, dass Xiaomi nicht beschuldigt wurde, die Daten an entfernte Server gesendet zu haben durch unsichere Methoden – Mr. Tierney weist darauf hin, dass das eigentliche Problem in den Daten selbst liegt gesendet.
Wir freuen uns, dass Xiaomi diese Vorwürfe direkt anspricht, aber die Erklärung scheint die Forscher zum jetzigen Zeitpunkt nicht zufriedenzustellen. Wir werden diese Geschichte im Hinblick auf die weitere Entwicklung im Auge behalten.
Update 2: Xiaomi bietet im nächsten Browser-Update eine Opt-out-Option an
Xiaomi hat seine aktualisiert Blogeintrag um anzukündigen, dass das nächste Update von Mint Browser und Mi Browser eine Option im Inkognito-Modus enthalten wird, um die „aggregierte“ Datenerfassung auszuschalten. Die Software-Updates werden noch heute zur Genehmigung an den Google Play Store übermittelt und sollten den Nutzern schon bald zur Verfügung stehen.
Es bleibt abzuwarten, ob diese Datenerfassung im Inkognito-Modus standardmäßig aktiviert bleibt oder nicht. Wir hoffen, dass dies nicht der Fall ist. Dennoch hilft die Möglichkeit, sich abzumelden, einige Datenschutzbedenken auszuräumen.
Update 3: Xiaomi aktualisiert seinen Mi-Browser und seinen Mint-Browser, um die Umschaltung der Inkognito-Datenerfassung zu verdeutlichen
Während Xiaomi die Datenschutzbedenken mit einem neuen Einstellungsschalter berücksichtigte, war die für den Schalter verwendete Sprache tatsächlich irreführend und erreichte das Gegenteil von dem, was geschrieben wurde. Als Android-Autorität weist darauf hin, Die "erweiterter Inkognito-Modus” Toggle sagte: „Aggregierte Datenstatistiken werden nicht hochgeladen, wenn der Inkognito-Modus aktiviert ist“, was die Benutzer zu der Annahme veranlasste, dass diese Aussage durch Umlegen des Schalters wahr werden würde. Dies war jedoch nicht der Fall. Der Wortlaut spiegelte den aktuellen Zustand des Schalters wider und war keine Wahr/Falsch-Aussage, die Sie durch Umlegen des Schalters ändern können.
Altes Verhalten
Jetzt hat Xiaomi Mi Browser und Mint Browser aktualisiert, um eine bessere Sprache für diesen Schalter zu bieten. Der Schalter heißt jetzt „Helfen Sie uns, den Mi/Mint-Browser zu verbessern“, und im Begleittext heißt es: „Aktivieren Sie diese Option, um Nutzungsstatistiken mit uns zu teilen, wenn der Inkognito-Modus aktiviert ist", wobei der Text gleich bleibt, wenn Sie den Schalter umlegen. Dadurch wird der Zweck und der aktive Zustand der Einstellung deutlich deutlicher.
Neues Verhalten
In beiden Versionen muss der Schalter ausgeschaltet sein, wenn Sie nicht möchten, dass Ihre Daten im Inkognito-Modus erfasst werden. Es ist lediglich der Text, der geändert wird, um den Zustand besser widerzuspiegeln. Das neue Update für beide Browser wird in den Google Play Store verschoben.