I ricercatori di sicurezza informatica hanno trovato prove che i browser di Xiaomi raccolgono informazioni sui dati di navigazione anche in modalità di navigazione in incognito. Continua a leggere per saperne di più!
Aggiornamento 3 (21/05/2020, 01:48 ET): Xiaomi ha aggiornato le impostazioni del browser per essere più chiari nel loro scopo, eliminando la confusione precedente.
Aggiornamento 2 (03/05/2020, 10:14 ET): Nel suo post di aggiornamento sul blog, Xiaomi ha affermato che i suoi browser verranno aggiornati con un'opzione per consentire agli utenti di disattivare il tracciamento in modalità di navigazione in incognito.
Aggiornamento 1 (01/05/2020, 15:36 EST): Xiaomi ha pubblicato un post sul blog in risposta a queste accuse. Scorri verso il basso per l'aggiornamento. La storia originale, pubblicata il 1 maggio 2020 alle 06:18 EST, è la seguente.
Gli smartphone Xiaomi sono unanimemente riconosciuti come uno degli acquisti con il miglior rapporto qualità-prezzo disponibili sul mercato in qualsiasi momento. Prepararne un po'
Tuttavia, recenti rapporti di ricercatori sulla sicurezza indicano un preoccupante problema di privacy osservato sui browser Web di Xiaomi. Collaboratore di Forbes sulla sicurezza informatica ed editore associato Tommaso Brewster, insieme ai ricercatori sulla sicurezza informatica Gabriel Cirlig E Andrea Tierney recentemente concluso in una relazione che i vari browser Web di Xiaomi inviavano dati a server remoti. Affermano che i dati inviati includevano una cronologia di tutti i siti Web visitati, inclusi gli URL, tutte le query dei motori di ricerca e tutti gli elementi visualizzati nel feed di notizie di Xiaomi, insieme al dispositivo metadati. Ciò che è addirittura preoccupante in questa accusa di raccolta dati è che questi dati vengono raccolti anche se apparentemente navighi con la "modalità di navigazione in incognito" abilitata.
Questa raccolta di dati sembra avvenire anche sul browser stock preinstallato su MIUI MiBrowser Pro E Browser di menta, entrambi disponibili per il download tramite Google Play Store. Insieme, questi browser hanno oltre 15 milioni di download sul Play Store, mentre il browser stock è precaricato su tutti i dispositivi Xiaomi. I dispositivi testati includono Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 e Xiaomi Mi Mix 3. Non c'era distinzione tra i dispositivi Android One o MIUI di Xiaomi, dato che il codice di raccolta è stato comunque trovato nel browser predefinito. Pertanto, questo problema non sembra essere incentrato sulla MIUI ma dipende dall'utilizzo di uno di questi tre browser sul dispositivo, indipendentemente dal sistema operativo sottostante. Altri browser, come Google Chrome e Apple Safari, raccolgono molti meno dati, limitandosi all'analisi dell'utilizzo e degli arresti anomali.
Xiaomi ha risposto confermando apparentemente che i dati di navigazione che stava raccogliendo erano pienamente conformi alle leggi e ai regolamenti locali in materia di privacy dei dati degli utenti. Le informazioni raccolte sono state autorizzate dall'utente e rese anonime. Tuttavia, la società ha negato le affermazioni della ricerca.
Le affermazioni della ricerca non sono vere. La privacy e la sicurezza sono la massima preoccupazione.
In questo video viene mostrata la raccolta dei dati di navigazione in forma anonima, che è una delle soluzioni più comuni adottate da società Internet per migliorare l'esperienza complessiva del prodotto browser attraverso l'analisi di dati non identificabili personalmente informazione.
I ricercatori, tuttavia, hanno ritenuto dubbia questa affermazione di anonimato. I dati inviati da Xiaomi erano certamente "crittografati", ma erano codificati in base64, che può essere facilmente decodificato. Poiché i dati di navigazione possono essere decodificato in modo piuttosto banalee poiché i dati raccolti contenevano anche metadati del dispositivo, questi dati di navigazione potrebbero apparentemente essere correlati alle azioni dei singoli utenti senza sforzi significativi.
Inoltre, i ricercatori hanno scoperto che i browser Xiaomi eseguivano il ping di domini relativi ai sensori Analytics, una startup cinese conosciuta anche come Sensors Data, nota per fornire analisi comportamentali Servizi. I browser contenevano anche un'API chiamata SensorDataAPI. Xiaomi è anche elencato come cliente su Sito web dei dati dei sensori.
Xiaomi ha risposto alla segnalazione di Forbes con smentita su diversi aspetti:
Mentre Sensors Analytics fornisce una soluzione di analisi dei dati per Xiaomi, i dati raccolti sono anonimi archiviati sui server di Xiaomi e non saranno condivisi con Sensors Analytics o con qualsiasi altra terza parte aziende.
I ricercatori hanno risposto al diniego di Xiaomi ulteriore prova della loro pratica di raccolta dati.
Con le informazioni disponibili, sembra esserci un preoccupante problema di privacy nel modo in cui funzionano questi browser. Abbiamo contattato Xiaomi per ulteriori commenti su queste affermazioni.
Fonte: Forbes
Aggiornamento 1: Xiaomi risponde nel post sul blog
In un post ufficiale del blog Su Mi.com, Xiaomi ha negato fermamente le accuse di violazione della privacy degli utenti.
“Xiaomi è rimasta delusa nel leggere il recente articolo di Forbes. Riteniamo che abbiano frainteso ciò che abbiamo comunicato in merito ai nostri principi e alla nostra politica sulla privacy dei dati. La privacy dei nostri utenti e la sicurezza Internet sono la massima priorità per Xiaomi; siamo certi di seguire rigorosamente e di essere pienamente conformi alle leggi e ai regolamenti locali. Abbiamo contattato Forbes per offrire chiarezza su questa sfortunata interpretazione errata”.
L'azienda conferma di raccogliere "dati statistici di utilizzo aggregati", che includono "informazioni di sistema, preferenze, utilizzo delle funzionalità dell'interfaccia utente, reattività, prestazioni, utilizzo della memoria e rapporti sugli arresti anomali." Affermano che queste informazioni "non possono essere utilizzate da sole per identificare alcun individuo." Confermano che gli URL vengono raccolti, ma che ciò viene fatto per "identificare le pagine web che si caricano lentamente" in modo che possano capire "come migliorare al meglio la navigazione complessiva" prestazione."
Successivamente, l'azienda afferma che la cronologia dei dati di navigazione individuali viene sincronizzata, ma che ciò avviene solo quando "l'utente ha effettuato l'accesso all'account Mi... e la funzione di sincronizzazione dei dati è impostata su "On" in Impostazioni." Negano che i dati di navigazione, a parte i suddetti dati statistici di utilizzo aggregati, vengano sincronizzati quando l'utente ha abilitato la modalità di navigazione in incognito.
Xiaomi ha quindi pubblicato screenshot di frammenti di codice da una delle loro app browser (non hanno specificato quale browser, però) che sostengono dimostrino i loro punti. Il primo frammento di codice, secondo Xiaomi, mostra un metodo decompilato per "come [loro] creano token univoci generati casualmente da aggiungere alle statistiche di utilizzo aggregate". Essi affermano che "questi i token non corrispondono a nessun individuo." Il prossimo frammento di codice sembra provenire dal codice sorgente del browser e mostra un metodo per "come funziona il Mi Browser in modalità di navigazione in incognito, dove no i dati di navigazione dell'utente verranno sincronizzati." Il terzo frammento di codice dimostra che le statistiche di utilizzo aggregate raccolte da Xiaomi sono "memorizzate sul dominio Xiaomi" e non vengono passate a Sensor Analitica. Infine, la quarta immagine "mostra che i dati statistici di utilizzo vengono trasferiti con il protocollo HTTPS di crittografia TLS 1.2."
Per coronare il tutto, Xiaomi cita poi 4 certificazioni che il suo software ha ricevuto da TrustArc e British Standard Institution (BSI). Queste certificazioni includono ISO27001:2013, ISO27018:2014, ISO29151:2017 e TRUSTe.
In risposta a questo post sul blog, il ricercatore di sicurezza informatica Andrew Tierney è andato su Twitter per confutare le affermazioni di Xiaomi. Afferma che lui e molti altri hanno riconfermato i risultati su più dispositivi: che "non c'è dubbio che Mint Browser invii termini di ricerca e URL mentre in modalità di navigazione in incognito." Afferma che il codice pubblicato da Xiaomi non dimostra che i loro "token unici generati casualmente" non possano essere correlati a individui. I ricercatori notano che l’UUID sembra farlo persistere tra le sessioni di navigazione e cambia solo quando il browser viene reinstallato. Anche per il ricercatore non è stato un punto controverso se Xiaomi memorizzi i dati solo sui propri server o altrove. Inoltre, il ricercatore afferma che Xiaomi non è stata accusata di aver inviato i dati a server remoti attraverso metodi non sicuri—Mr. Tierney osserva che il problema in questione sono i dati stessi che vengono trasmessi inviato.
Siamo lieti di vedere che Xiaomi affronta direttamente queste accuse, ma la spiegazione non sembra soddisfare i ricercatori a questo punto. Terremo d'occhio questa vicenda per ulteriori sviluppi.
Aggiornamento 2: Xiaomi offrirà l'opzione di rinuncia nel prossimo aggiornamento del browser
Xiaomi ha aggiornato il suo post sul blog per annunciare che il prossimo aggiornamento di Mint Browser e Mi Browser includerà un'opzione in modalità di navigazione in incognito per disattivare la raccolta dati "aggregati". Gli aggiornamenti software verranno inviati al Google Play Store per l'approvazione oggi stesso e dovrebbero essere disponibili per gli utenti molto presto.
Resta da vedere se questa raccolta di dati rimarrà abilitata per impostazione predefinita all'interno della modalità di navigazione in incognito oppure no. Speriamo che non lo sia. Tuttavia, avere un'opzione di rinuncia aiuta a risolvere alcuni problemi di privacy.
Aggiornamento 3: Xiaomi sta aggiornando il suo Mi Browser e Mint Browser per chiarire la modalità di attivazione/disattivazione della raccolta dati in incognito
Sebbene Xiaomi abbia risolto i problemi di privacy con una nuova attivazione/disattivazione delle impostazioni, ciò che in realtà è accaduto è che il linguaggio utilizzato per l'attivazione/disattivazione è stato fuorviante, ottenendo il contrario di quanto scritto. COME Autorità Android sottolinea, IL "modalità di navigazione in incognito migliorata" l'interruttore ha detto: "Le statistiche dei dati aggregati non verranno caricate quando la modalità di navigazione in incognito è attiva", il che ha portato gli utenti a credere che attivare l'interruttore avrebbe reso vera questa affermazione. Ma questo non era il caso. La dicitura rifletteva lo stato corrente dell'interruttore e non era un'affermazione vero/falso che si modifica spostando l'interruttore.
Vecchio comportamento
Ora, Xiaomi ha aggiornato Mi Browser e Mint Browser per avere un linguaggio migliore su questo interruttore. L'interruttore ora si chiama "Aiutaci a migliorare Mi/Mint Browser", e il testo di accompagnamento dice"Attiva per condividere con noi le statistiche di utilizzo quando la modalità di navigazione in incognito è attiva", con il testo che rimane lo stesso quando si gira l'interruttore. Questo rende molto più chiaro lo scopo e lo stato attivo dell'impostazione.
Nuovo comportamento
In entrambe le versioni, l'interruttore deve essere disattivato se non desideri che i tuoi dati vengano raccolti in modalità di navigazione in incognito. È solo il testo che sta cambiando per riflettere meglio lo stato. Il nuovo aggiornamento per entrambi i browser viene inviato al Google Play Store.