Los investigadores de ciberseguridad han encontrado evidencia de que los navegadores de Xiaomi han estado recopilando información de datos de navegación incluso en modo incógnito. ¡Siga leyendo para saber más!
Actualización 3 (21/05/2020 a las 01:48 a.m. ET): Xiaomi ha actualizado la configuración de su navegador para que su propósito sea más claro, eliminando la confusión anterior.
Actualización 2 (03/05/2020 a las 10:14 a.m. ET): En la actualización de su publicación de blog, Xiaomi mencionó que sus navegadores se actualizarán con una opción que permitirá a los usuarios optar por no realizar el seguimiento en modo incógnito.
Actualización 1 (01/05/2020 a las 03:36 p.m. EST): Xiaomi ha publicado una entrada de blog en respuesta a estas acusaciones. Desplácese hacia abajo para ver la actualización. La historia original, publicada el 1 de mayo de 2020 a las 06:18 a. m. EST, es la siguiente.
Se acepta unánimemente que los teléfonos inteligentes Xiaomi son una de las compras con mejor valor disponibles en el mercado en cualquier momento. empacando algunos
Sin embargo, informes recientes de investigadores de seguridad apuntan a un preocupante problema de privacidad observado en los navegadores web de Xiaomi. Colaborador y editor asociado de ciberseguridad de Forbes Thomas Brewster, junto con investigadores de ciberseguridad Gabriel Cirlig y Andres Tierney recientemente concluyó en un informe que los distintos navegadores web de Xiaomi enviaban datos a servidores remotos. Alegan que los datos enviados incluían un historial de todos los sitios web visitados, incluidas las URL, todas las consultas del motor de búsqueda y todos los elementos vistos en el servicio de noticias de Xiaomi, junto con el dispositivo metadatos. Lo que es aún más preocupante acerca de esta acusación de recopilación de datos es que estos datos se recopilan incluso si aparentemente navegas con el "modo incógnito" habilitado.
Esta recopilación de datos aparentemente ocurre en el navegador estándar preinstalado en MIUI, así como en Mi navegador Pro y Navegador de menta, los cuales están disponibles para descargar a través de Google Play Store. Juntos, estos navegadores tienen más de 15 millones de descargas en Play Store, mientras que el navegador estándar está precargado en todos los dispositivos Xiaomi. Los dispositivos probados incluyen el Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 y Xiaomi Mi Mix 3. No había distinción entre los dispositivos Android One o MIUI de Xiaomi, ya que el código de colección se encontraba de todos modos en el navegador predeterminado. Como tal, este problema no parece estar centrado en MIUI, sino que depende de si utiliza alguno de estos tres navegadores en su dispositivo, independientemente del sistema operativo subyacente. Otros navegadores, como Google Chrome y Apple Safari, recopilan muchos menos datos y se limitan al uso y al análisis de fallos.
Xiaomi respondió aparentemente confirmando que los datos de navegación que estaba recopilando cumplían totalmente con las leyes y regulaciones locales sobre cuestiones de privacidad de datos de los usuarios. La información recopilada fue consentida por el usuario y anónima. Sin embargo, la empresa negó las afirmaciones de la investigación.
Las afirmaciones de la investigación son falsas. La privacidad y la seguridad son una de las principales preocupaciones.
Este vídeo muestra la recopilación de datos de navegación anónimos, que es una de las soluciones más comunes adoptadas por empresas de Internet para mejorar la experiencia general del producto del navegador mediante el análisis de datos no identificables personalmente información.
Los investigadores, sin embargo, encontraron dudosa esta afirmación de anonimato. Es cierto que los datos que Xiaomi enviaba estaban "encriptados", pero estaban codificados en base64, que se puede decodificar fácilmente. Dado que los datos de navegación pueden ser decodificado de una manera bastante trivial, y dado que los datos recopilados también contenían metadatos del dispositivo, estos datos de navegación aparentemente podrían correlacionarse con las acciones de los usuarios individuales sin un esfuerzo significativo.
Además, los investigadores descubrieron que los navegadores Xiaomi hacían ping a dominios relacionados con sensores. Analytics, una startup china también conocida como Sensors Data, conocida por proporcionar análisis de comportamiento. servicios. Los navegadores también contenían una API llamada SensorDataAPI. Xiaomi también figura como cliente en el Sitio web de datos de sensores.
Xiaomi ha respondido al informe de Forbes con un desmentido en varios aspectos:
Si bien Sensors Analytics proporciona una solución de análisis de datos para Xiaomi, los datos anónimos recopilados son almacenado en los propios servidores de Xiaomi y no se compartirá con Sensors Analytics ni con ningún otro tercero compañías.
Los investigadores respondieron a la negación de Xiaomi con una prueba más de su práctica de recopilación de datos.
Con la información disponible, parece haber un problema de privacidad preocupante en la forma en que funcionan estos navegadores. Nos comunicamos con Xiaomi para obtener más comentarios sobre estas afirmaciones.
Fuente: Forbes
Actualización 1: Xiaomi responde en una publicación de blog
en un publicación oficial del blog En Mi.com, Xiaomi negó rotundamente las acusaciones de que estaban violando la privacidad del usuario.
“Xiaomi se sintió decepcionada al leer el reciente artículo de Forbes. Creemos que han entendido mal lo que les comunicamos con respecto a nuestros principios y política de privacidad de datos. La privacidad de nuestros usuarios y la seguridad en Internet son de máxima prioridad en Xiaomi; Estamos seguros de que seguimos estrictamente y cumplimos plenamente con las leyes y regulaciones locales. Nos hemos comunicado con Forbes para ofrecer claridad sobre esta desafortunada mala interpretación”.
La empresa confirma que recopila "datos estadísticos de uso agregados", que incluyen "información del sistema, preferencias, uso de funciones de la interfaz de usuario, capacidad de respuesta, rendimiento, uso de memoria e informes de fallos". Afirman que esta información "no puede usarse por sí sola para identificar a ningún individuo". Confirman que las URL se recopilan, pero que esto se hace para "identificar las páginas web que se cargan lentamente" para que puedan descubrir "cómo mejorar mejor la navegación general". actuación."
A continuación, la compañía afirma que el historial de datos de navegación individual se sincroniza, pero que esto solo se hace cuando "el usuario inicia sesión en Mi Cuenta... y la función de sincronización de datos está configurada". a 'Activado' en Configuración". Niegan que los datos de navegación, aparte de los datos estadísticos de uso agregados antes mencionados, se estén sincronizando cuando el usuario ha habilitado el modo incógnito.
Luego, Xiaomi publicó capturas de pantalla de fragmentos de código de una de sus aplicaciones de navegador (aunque no especificaron qué navegador) que, según afirman, demuestran sus puntos. El primer fragmento de código, según Xiaomi, muestra un método descompilado de "cómo [ellos] crean tokens únicos generados aleatoriamente para agregarlos a las estadísticas de uso agregadas". Afirman que "estos Los tokens no corresponden a ninguna persona". El siguiente fragmento de código aparentemente proviene del código fuente del navegador y muestra un método para "cómo funciona Mi Browser en modo incógnito, donde no Los datos de navegación del usuario se sincronizarán". El tercer fragmento de código demuestra que las estadísticas de uso agregadas que Xiaomi recopila se "almacenan en el dominio de Xiaomi" y no se pasan a Sensor. Analítica. Finalmente, la cuarta imagen "muestra que los datos de estadísticas de uso se transfieren con el protocolo HTTPS de cifrado TLS 1.2".
Para colmo, Xiaomi cita 4 certificaciones que su software recibió de TrustArc y British Standard Institution (BSI). Estas certificaciones incluyen ISO27001:2013, ISO27018:2014, ISO29151:2017 y TRUSTe.
En respuesta a esta publicación de blog, el investigador de ciberseguridad Andrew Tierney llevó a Twitter para refutar las afirmaciones de Xiaomi. Afirma que él y varios otros volvieron a confirmar los hallazgos en múltiples dispositivos: que "no hay duda de que Mint Browser envía términos de búsqueda y URL mientras en modo incógnito". Afirma que el código que Xiaomi publicó no demuestra que sus "tokens únicos generados aleatoriamente" no puedan correlacionarse con individuos. Los investigadores señalan que el UUID parece persistir a través de sesiones de navegación y solo cambios cuando se reinstala el navegador. Si Xiaomi sólo almacena los datos en sus propios servidores o en otro lugar tampoco fue un punto de discusión para el investigador. Además, el investigador afirma que Xiaomi no fue acusada de enviar datos a servidores remotos. a través de métodos inseguros—Sr. Tierney señala que el problema que nos ocupa son los datos mismos que se están enviado.
Nos alegra ver que Xiaomi aborda estas acusaciones directamente, pero la explicación no parece satisfacer a los investigadores en este momento. Estaremos atentos a esta historia para futuras novedades.
Actualización 2: Xiaomi ofrecerá la opción de exclusión voluntaria en la próxima actualización del navegador
Xiaomi ha actualizado su entrada en el blog para anunciar que la próxima actualización de Mint Browser y Mi Browser incluirá una opción en modo incógnito para desactivar la recopilación de datos "agregados". Las actualizaciones de software se enviarán a Google Play Store para su aprobación hoy mismo y deberían estar disponibles para los usuarios muy pronto.
Queda por ver si esta recopilación de datos seguirá habilitada de forma predeterminada en el modo incógnito o no. Esperamos que no lo sea. Aun así, tener la opción de optar por no participar funciona para abordar algunas preocupaciones de privacidad.
Actualización 3: Xiaomi está actualizando su Mi Browser y Mint Browser para aclarar su alternancia de recopilación de datos de incógnito
Si bien Xiaomi abordó los problemas de privacidad con una nueva opción de configuración, lo que en realidad sucedió fue que el lenguaje utilizado para la opción fue engañoso, logrando lo contrario de lo que estaba escrito. Como Autoridad de Android Señala, el "modo incógnito mejorado" alternar dijo: "Las estadísticas de datos agregados no se cargarán cuando el modo incógnito esté activado”, lo que llevó a los usuarios a creer que activar el interruptor haría que esta afirmación fuera cierta. Pero éste no era el caso. La redacción reflejaba el estado actual del interruptor y no era una afirmación de verdadero/falso que se cambia al accionar el interruptor.
viejo comportamiento
Ahora, Xiaomi ha actualizado Mi Browser y Mint Browser para tener un mejor lenguaje en esta palanca. La palanca ahora se llama "Ayúdanos a mejorar Mi/Mint Browser", y el texto adjunto dice "Actívalo para compartir estadísticas de uso con nosotros cuando el modo incógnito esté activado", y el texto permanece igual cuando accionas el interruptor. Esto es mucho más claro para el propósito y el estado activo del entorno.
Nuevo comportamiento
En ambas versiones, el interruptor debe estar apagado si no desea que sus datos se recopilen en modo incógnito. Es sólo el texto el que está cambiando para reflejar mejor el estado. La nueva actualización de ambos navegadores se enviará a Google Play Store.