Les chercheurs en cybersécurité ont trouvé des preuves que les navigateurs de Xiaomi collectent des informations sur les données de navigation même en mode Incognito. Lisez la suite pour en savoir plus !
Mise à jour 3 (21/05/2020 à 01h48 HE) : Xiaomi a mis à jour les paramètres de son navigateur pour rendre leur objectif plus clair, éliminant ainsi la confusion précédente.
Mise à jour 2 (03/05/2020 à 10 h 14 HE) : Dans la mise à jour de son article de blog, Xiaomi a mentionné que ses navigateurs seront mis à jour avec une option permettant aux utilisateurs de désactiver le suivi en mode navigation privée.
Mise à jour 1 (01/05/2020 à 15h36 HNE) : Xiaomi a publié un article de blog en réponse à ces allégations. Faites défiler vers le bas pour la mise à jour. L'histoire originale, telle que publiée le 1er mai 2020 à 06h18 HNE, est la suivante.
Les smartphones Xiaomi sont unanimement reconnus comme étant l’un des achats les plus avantageux disponibles sur le marché à tout moment. En emballer matériel fou
à des prix très lucratifs, surtout dans le bas de gamme du marché des smartphones, ces téléphones font une offre que beaucoup de gens ne peuvent tout simplement pas refuser. Xiaomi a également été réceptive aux besoins de la communauté des développeurs, avec des décisions telles que permettant le déverrouillage du chargeur de démarrage sans sacrifier la garantie du fabricant -- une combinaison que beaucoup d'autres constructeurs OEM populaires rejettent, tout en améliorant considérablement leur versions des sources du noyau. Ces raisons en font l’un des appareils les plus populaires sur nos forums, et ils ont à juste titre mérité cette place de popularité.Cependant, des rapports récents de chercheurs en sécurité pointent vers un problème de confidentialité inquiétant observé sur les navigateurs Web de Xiaomi. Contributeur et rédacteur associé de Forbes en matière de cybersécurité Thomas Brewster, aux côtés de chercheurs en cybersécurité Gabriel Cirlig et Andrew Tierney récemment conclu dans un rapport que les différents navigateurs Web de Xiaomi envoyaient des données à des serveurs distants. Ils allèguent que les données envoyées comprenaient un historique de tous les sites Web visités, y compris les URL, toutes les requêtes des moteurs de recherche et tous les éléments consultés sur le fil d'actualité de Xiaomi, ainsi que l'appareil métadonnées. Ce qui est encore plus inquiétant à propos de cette allégation de collecte de données, c'est que ces données sont collectées même si vous naviguez apparemment avec le « mode navigation privée » activé.
Cette collecte de données se produit apparemment sur le navigateur boursier préinstallé sur MIUI, ainsi que sur Mi Navigateur Pro et Navigateur Mint, tous deux disponibles en téléchargement via le Google Play Store. Ensemble, ces navigateurs totalisent plus de 15 millions de téléchargements sur le Play Store, tandis que le navigateur standard est préchargé sur tous les appareils Xiaomi. Les appareils testés incluent le Xiaomi Redmi Note 8, le Xiaomi Mi A1, le Xiaomi Mi 10, le Xiaomi Redmi K20 et le Xiaomi Mi Mix 3. Il n'y avait pas de distinction entre les appareils Android One ou MIUI de Xiaomi, car le code de collecte a de toute façon été trouvé dans le navigateur par défaut. En tant que tel, ce problème ne semble pas être centré sur MIUI mais dépend du fait que vous utilisez ou non l'un de ces trois navigateurs sur votre appareil, quel que soit le système d'exploitation sous-jacent. D'autres navigateurs, comme Google Chrome et Apple Safari, collectent beaucoup moins de données et se limitent à l'analyse de l'utilisation et des plantages.
Xiaomi a répondu en confirmant apparemment que les données de navigation qu'elle collectait étaient entièrement conformes aux lois et réglementations locales en matière de confidentialité des données des utilisateurs. Les informations collectées ont été consenties par l'utilisateur et anonymisées. Cependant, la société a nié les affirmations de la recherche.
Les affirmations de la recherche sont fausses. La confidentialité et la sécurité sont une préoccupation majeure.
Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus courantes adoptées par sociétés Internet pour améliorer l'expérience globale des produits de navigation grâce à l'analyse de données non personnellement identifiables information.
Les chercheurs ont cependant trouvé douteuse cette affirmation d’anonymat. Les données que Xiaomi envoyait étaient certes « cryptées », mais elles étaient codées en base64, qui peut facilement être décodée. Étant donné que les données de navigation peuvent être décodé de manière assez triviale, et comme les données collectées contenaient également des métadonnées sur les appareils, ces données de navigation pourraient apparemment être corrélées aux actions des utilisateurs individuels sans effort significatif.
De plus, les chercheurs ont découvert que les navigateurs Xiaomi envoyaient une requête ping aux domaines liés aux capteurs. Analytics, une startup chinoise également connue sous le nom de Sensors Data, connue pour fournir des analyses comportementales prestations de service. Les navigateurs contenaient également une API appelée SensorDataAPI. Xiaomi est également répertorié comme client sur le Site Web de données de capteurs.
Xiaomi a répondu au rapport de Forbes en niant sur plusieurs aspects :
Bien que Sensors Analytics fournisse une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stocké sur les propres serveurs de Xiaomi et ne sera pas partagé avec Sensors Analytics ou tout autre tiers entreprises.
Les chercheurs ont répondu au refus de Xiaomi avec une preuve supplémentaire de leur pratique de collecte de données.
Avec les informations disponibles, il semble y avoir un problème de confidentialité inquiétant dans le fonctionnement de ces navigateurs. Nous avons contacté Xiaomi pour obtenir de plus amples commentaires sur ces affirmations.
Source: Forbes
Mise à jour 1: Xiaomi répond dans un article de blog
Dans un article de blog officiel sur Mi.com, Xiaomi a fermement nié les allégations selon lesquelles ils violeraient la vie privée des utilisateurs.
« Xiaomi a été déçu de lire le récent article de Forbes. Nous pensons qu'ils ont mal compris ce que nous avons communiqué concernant nos principes et notre politique de confidentialité des données. La confidentialité et la sécurité Internet de nos utilisateurs sont une priorité absolue chez Xiaomi; nous sommes convaincus que nous suivons strictement et sommes pleinement conformes aux lois et réglementations locales. Nous avons contacté Forbes pour clarifier cette malheureuse interprétation erronée.
La société confirme qu'elle collecte des « données statistiques d'utilisation agrégées », qui comprennent « des informations sur le système, les préférences, l'utilisation des fonctionnalités de l'interface utilisateur, réactivité, performances, utilisation de la mémoire et rapports d'erreur. » Ils déclarent que ces informations « ne peuvent pas à elles seules être utilisées pour identifier un individu. » Ils confirment que les URL sont collectées, mais que cela est fait pour "identifier les pages Web qui se chargent lentement" afin qu'ils puissent comprendre "comment améliorer au mieux la navigation globale performance."
Ensuite, la société déclare que l'historique des données de navigation individuelles est synchronisé, mais que cela n'est fait que lorsque "l'utilisateur est connecté au compte Mi... et que la fonction de synchronisation des données est activée". sur « Activé » sous Paramètres. » Ils nient que les données de navigation, en dehors des données statistiques d'utilisation agrégées susmentionnées, soient synchronisées lorsque l'utilisateur a activé le mode navigation privée.
Xiaomi a ensuite publié des captures d'écran d'extraits de code de l'une de leurs applications de navigateur (ils n'ont cependant pas précisé quel navigateur) qui, selon eux, démontrent leurs arguments. Le premier extrait de code, selon Xiaomi, montre une méthode décompilée pour "comment [ils] créent des jetons uniques générés aléatoirement à ajouter aux statistiques d'utilisation globales". Ils déclarent que « ces les jetons ne correspondent à aucun individu." L'extrait de code suivant provient apparemment du code source du navigateur et montre une méthode pour "comment le Mi Browser fonctionne en mode navigation privée, où aucun les données de navigation des utilisateurs seront synchronisées. » Le troisième extrait de code démontre que les statistiques d'utilisation agrégées collectées par Xiaomi sont « stockées sur le domaine de Xiaomi » et ne sont pas transmises au capteur. Analytique. Enfin, la quatrième image "montre que les données statistiques d'utilisation sont transférées avec le protocole HTTPS de cryptage TLS 1.2".
Pour couronner le tout, Xiaomi cite ensuite 4 certifications que son logiciel a reçues de TrustArc et de British Standard Institution (BSI). Ces certifications incluent ISO27001:2013, ISO27018:2014, ISO29151:2017 et TRUSTe.
En réponse à ce billet de blog, le chercheur en cybersécurité Andrew Tierney est allé sur Twitter pour réfuter les affirmations de Xiaomi. Il déclare que lui et plusieurs autres ont reconfirmé les résultats sur plusieurs appareils – qu'il « ne fait aucun doute que le navigateur Mint envoie des termes de recherche et des URL tout en en mode Incognito. » Il déclare que le code publié par Xiaomi ne démontre pas que leurs « jetons uniques générés aléatoirement » ne peuvent pas être corrélés à des individus. Les chercheurs notent que l'UUID semble persister au fil des sessions de navigation et seulement des changements lorsque le navigateur est réinstallé. Que Xiaomi stocke uniquement les données sur ses propres serveurs ou ailleurs n'était pas non plus un point de discorde pour le chercheur. De plus, le chercheur affirme que Xiaomi n'a pas été accusé d'envoyer les données à des serveurs distants par des méthodes non sécurisées - M. Tierney note que le problème en question réside dans les données elles-mêmes qui sont envoyé.
Nous sommes heureux de voir Xiaomi répondre directement à ces allégations, mais l'explication ne semble pas satisfaire les chercheurs à ce stade. Nous garderons un œil sur cette histoire pour de futurs développements.
Mise à jour 2: Xiaomi proposera une option de désinscription dans la prochaine mise à jour du navigateur
Xiaomi a mis à jour son article de blog d'annoncer que la prochaine mise à jour de Mint Browser et Mi Browser inclura une option en mode navigation privée pour désactiver la collecte de données « agrégées ». Les mises à jour logicielles seront soumises aujourd'hui au Google Play Store pour approbation et devraient être disponibles pour les utilisateurs très prochainement.
Reste à savoir si cette collecte de données restera activée par défaut en mode navigation privée ou non. Nous espérons que non. Néanmoins, la possibilité de se désinscrire permet de répondre à certains problèmes de confidentialité.
Mise à jour 3: Xiaomi met à jour son navigateur Mi et son navigateur Mint pour clarifier sa bascule de collecte de données incognito
Bien que Xiaomi ait résolu les problèmes de confidentialité avec une nouvelle bascule de paramètres, ce qui s'est réellement passé, c'est que le langage utilisé pour la bascule était trompeur, obtenant le contraire de ce qui était écrit. Comme Autorité Android fait remarquer, le "mode navigation privée amélioré" bascule a dit: "Les statistiques de données agrégées ne seront pas téléchargées lorsque le mode navigation privée est activé", ce qui a amené les utilisateurs à croire que l'activation de la bascule rendrait cette déclaration vraie. Mais ce ne fut pas le cas. Le libellé reflétait l'état actuel de la bascule et ne constituait pas une déclaration vrai/faux que vous modifiiez en actionnant le commutateur.
Ancien comportement
Maintenant, Xiaomi a mis à jour Mi Browser et Mint Browser pour avoir un meilleur langage sur cette bascule. La bascule s'appelle désormais "Aidez-nous à améliorer le navigateur Mi/Mint", et le texte qui l'accompagne dit "Activez cette option pour partager les statistiques d'utilisation avec nous lorsque le mode navigation privée est activé.", le texte restant le même lorsque vous actionnez le commutateur. Cela est beaucoup plus clair quant au but et à l'état actif du paramètre.
Nouveau comportement
Dans les deux versions, la bascule doit être désactivée si vous ne souhaitez pas que vos données soient collectées en mode navigation privée. C'est juste le texte qui change pour mieux refléter l'État. La nouvelle mise à jour des deux navigateurs est en cours de diffusion sur le Google Play Store.