Cybersecurity-onderzoekers hebben bewijs gevonden dat de browsers van Xiaomi zelfs in de incognitomodus browsegegevens verzamelen. Lees verder om meer te weten!
Update 3 (21-05-2020 om 01:48 uur ET): Xiaomi heeft zijn browserinstellingen bijgewerkt om het doel ervan duidelijker te maken, waardoor eerdere verwarring is weggenomen.
Update 2 (05/03/2020 om 10:14 uur ET): In zijn blogpost-update heeft Xiaomi vermeld dat zijn browsers zullen worden bijgewerkt met een optie waarmee gebruikers zich kunnen afmelden voor tracking in de incognitomodus.
Update 1 (01-05-2020 @ 15:36 EST): Xiaomi heeft naar aanleiding van deze beschuldigingen een blogpost gepubliceerd. Scroll naar beneden voor de update. Het originele verhaal, zoals gepubliceerd op 1 mei 2020 om 06:18 uur EST, is als volgt.
Xiaomi-smartphones zijn het er unaniem over eens dat ze op elk moment een van de voordeligste aankopen op de markt zijn. Wat inpakken krankzinnige hardware tegen een aantal zeer lucratieve prijzen, vooral aan de onderkant van de smartphonemarkt
, deze telefoons doen een aanbod dat veel mensen gewoon niet kunnen weigeren. Xiaomi stond ook open voor de behoeften van de ontwikkelaarsgemeenschap, met beslissingen zoals waardoor de bootloader kan worden ontgrendeld zonder de fabrieksgarantie op te offeren -- een combinatie die veel andere populaire OEM's weggooien, en die hun ook enorm verbeteren kernelbronversies. Deze redenen maken ze tot een van de meest populaire apparaten op onze forums, en ze hebben die populariteit terecht verdiend.Recente rapporten van beveiligingsonderzoekers wijzen echter op een zorgwekkend privacyprobleem dat is waargenomen in de webbrowsers van Xiaomi. Forbes' cybersecurity-bijdrager en associate editor Thomas Brouwster, samen met cybersecurityonderzoekers Gabriël Cirlig En Andreas Tierney onlangs afgesloten in een rapport dat de verschillende webbrowsers van Xiaomi gegevens naar externe servers stuurden. Zij beweren dat de verzonden gegevens een geschiedenis bevatten van alle bezochte websites, inclusief de URL's, alle zoekopdrachten van zoekmachines en alle items die worden bekeken in de nieuwsfeed van Xiaomi, samen met het apparaat metagegevens. Wat zelfs zorgwekkend is aan deze bewering over het verzamelen van gegevens, is dat deze gegevens zelfs worden verzameld als u schijnbaar surft terwijl de "incognitomodus" is ingeschakeld.
Deze gegevensverzameling vindt schijnbaar plaats in de vooraf geïnstalleerde aandelenbrowser op MIUI, evenals in Mi Browser Pro En Mint-browser, die beide kunnen worden gedownload via de Google Play Store. Samen hebben deze browsers ruim 15 miljoen downloads in de Play Store, terwijl de stockbrowser op alle Xiaomi-apparaten vooraf is geladen. De geteste apparaten zijn onder meer de Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 en de Xiaomi Mi Mix 3. Er was geen onderscheid tussen Xiaomi's Android One- of MIUI-apparaten, aangezien de verzamelcode sowieso in de standaardbrowser werd gevonden. Als zodanig lijkt dit probleem niet MIUI-gericht te zijn, maar hangt het ervan af of u een van deze drie browsers op uw apparaat gebruikt, ongeacht het onderliggende besturingssysteem. Andere browsers, zoals Google Chrome en Apple Safari, verzamelen veel minder gegevens en beperken zich tot gebruiks- en crashanalyses.
Xiaomi reageerde door schijnbaar te bevestigen dat de browsergegevens die het verzamelde volledig in overeenstemming waren met de lokale wet- en regelgeving op het gebied van de privacy van gebruikersgegevens. De verzamelde informatie was met toestemming van de gebruiker en geanonimiseerd. Het bedrijf ontkende de beweringen in het onderzoek echter.
De onderzoeksclaims zijn niet waar. Privacy en veiligheid zijn van het grootste belang.
Deze video toont het verzamelen van anonieme browsegegevens, een van de meest gebruikte oplossingen internetbedrijven om de algehele browserproductervaring te verbeteren door het analyseren van niet-persoonlijk identificeerbare gegevens informatie.
De onderzoekers vonden deze claim van anonimiteit echter twijfelachtig. De gegevens die Xiaomi verzond waren weliswaar "gecodeerd", maar ze waren gecodeerd in base64, wat gemakkelijk kan worden gedecodeerd. Omdat de browsegegevens kunnen zijn op een nogal triviale manier gedecodeerd, en aangezien de verzamelde gegevens ook metagegevens van het apparaat bevatten, konden deze browsegegevens schijnbaar zonder veel moeite in verband worden gebracht met de acties van individuele gebruikers.
Verder ontdekten de onderzoekers dat de Xiaomi-browsers domeinen pingden die verband hielden met sensoren Analytics, een Chinese startup, ook bekend als Sensors Data, bekend om het leveren van gedragsanalyses Diensten. De browsers bevatten ook een API genaamd SensorDataAPI. Xiaomi staat ook vermeld als klant op de Sensorgegevens website.
Xiaomi heeft op verschillende aspecten gereageerd met ontkenning op het rapport van Forbes:
Hoewel Sensors Analytics een oplossing voor gegevensanalyse voor Xiaomi biedt, zijn de verzamelde anonieme gegevens dat wel opgeslagen op de eigen servers van Xiaomi en zal niet worden gedeeld met Sensors Analytics of enige andere derde partij bedrijven.
De onderzoekers reageerden tegen de ontkenning van Xiaomi met Verder bewijs van hun dataverzamelingspraktijk.
Met de beschikbare informatie lijkt er sprake te zijn van een zorgwekkend privacyprobleem in de manier waarop deze browsers functioneren. We hebben Xiaomi benaderd voor verder commentaar op deze beweringen.
Bron: Forbes
Update 1: Xiaomi reageert in blogpost
In een officiële blogpost op Mi.com ontkende Xiaomi met klem de beschuldigingen dat ze de privacy van gebruikers schendden.
“Xiaomi was teleurgesteld toen hij het recente artikel van Forbes las. We hebben het gevoel dat ze onze communicatie over onze gegevensprivacyprincipes en ons beleid verkeerd hebben begrepen. De privacy en internetveiligheid van onze gebruikers hebben bij Xiaomi de hoogste prioriteit; we zijn ervan overtuigd dat we de lokale wet- en regelgeving strikt volgen en volledig naleven. We hebben contact opgenomen met Forbes om duidelijkheid te bieden over deze ongelukkige verkeerde interpretatie.”
Het bedrijf bevestigt dat ze ‘geaggregeerde gebruiksstatistieken’ verzamelen, waaronder ‘systeeminformatie, voorkeuren, gebruik van gebruikersinterfacefuncties, reactievermogen, prestaties, geheugengebruik en crashrapporten." Ze stellen dat deze informatie "niet alleen kan worden gebruikt om een individu te identificeren." Ze bevestigen dat dat URL's worden verzameld, maar dat dit wordt gedaan om "webpagina's te identificeren die langzaam laden", zodat ze kunnen uitzoeken "hoe ze het algehele browsen het beste kunnen verbeteren prestatie."
Vervolgens stelt het bedrijf dat de geschiedenis van individuele browsegegevens wordt gesynchroniseerd, maar dat dit alleen gebeurt wanneer "de gebruiker is aangemeld op Mi Account... en de gegevenssynchronisatiefunctie is ingesteld op 'Aan' onder Instellingen." Ze ontkennen dat browsergegevens, afgezien van de bovengenoemde verzamelde gebruiksstatistieken, worden gesynchroniseerd wanneer de gebruiker de incognitomodus heeft ingeschakeld.
Xiaomi publiceerde vervolgens schermafbeeldingen van codefragmenten van een van hun browser-apps (ze specificeerden echter niet welke browser) waarvan zij beweren dat ze hun punten aantonen. Het eerste codefragment toont volgens Xiaomi een gedecompileerde methode voor "hoe [ze] willekeurig gegenereerde unieke tokens creëren om toe te voegen aan verzamelde gebruiksstatistieken." Ze stellen dat "deze tokens komen met geen enkele persoon overeen." Het volgende codefragment komt schijnbaar uit de broncode van de browser en toont een methode voor "hoe de Mi Browser werkt in de incognitomodus, waar geen browsegegevens van gebruikers worden gesynchroniseerd." Het derde codefragment laat zien dat de geaggregeerde gebruiksstatistieken die Xiaomi verzamelt "opgeslagen worden op het domein van Xiaomi" en niet worden doorgegeven aan Sensor Analyses. Ten slotte laat de vierde afbeelding " zien dat gebruiksstatistische gegevens worden overgedragen met het HTTPS-protocol van TLS 1.2-codering."
Als klap op de vuurpijl noemt Xiaomi vervolgens vier certificeringen die hun software heeft ontvangen van TrustArc en British Standard Institution (BSI). Deze certificeringen omvatten ISO27001:2013, ISO27018:2014, ISO29151:2017 en TRUSTe.
In reactie op deze blogpost zegt cybersecurity-onderzoeker Andrew Tierney ging naar Twitter om de beweringen van Xiaomi te weerleggen. Hij stelt dat hij en verschillende anderen de bevindingen op meerdere apparaten opnieuw hebben bevestigd – dat er “geen twijfel over bestaat dat de Mint Browser zoektermen en URL’s verzendt terwijl in de incognitomodus." Hij stelt dat de code die Xiaomi heeft gepubliceerd niet aantoont dat hun "willekeurig gegenereerde unieke tokens" niet kunnen worden gecorreleerd aan individuen. De onderzoekers merken op dat de UUID dat wel lijkt blijven bestaan tijdens browsersessies en verandert alleen maar wanneer de browser opnieuw wordt geïnstalleerd. Of Xiaomi de gegevens alleen op eigen servers of elders opslaat, was ook voor de onderzoeker geen punt van discussie. Bovendien stelt de onderzoeker dat Xiaomi er niet van beschuldigd werd de gegevens naar externe servers te sturen via onzekere methoden – Mr. Tierney merkt op dat het hier om de gegevens zelf gaat verstuurd.
We zijn blij dat Xiaomi deze beschuldigingen rechtstreeks aanpakt, maar de verklaring lijkt de onderzoekers op dit moment niet tevreden te stellen. Wij houden dit verhaal in de gaten voor verdere ontwikkelingen.
Update 2: Xiaomi biedt een opt-out-optie aan bij de volgende browserupdate
Xiaomi heeft het bijgewerkt blogpost om aan te kondigen dat de volgende update van Mint Browser en Mi Browser een optie in de incognitomodus zal bevatten om de "geaggregeerde" gegevensverzameling uit te schakelen. De software-updates worden vandaag ter goedkeuring aan de Google Play Store voorgelegd en zouden binnenkort beschikbaar moeten zijn voor gebruikers.
Het valt nog te bezien of deze gegevensverzameling standaard ingeschakeld blijft in de incognitomodus, of niet. Wij hopen dat dit niet zo is. Toch kan het hebben van een opt-out-optie een aantal privacyproblemen wegnemen.
Update 3: Xiaomi werkt zijn Mi Browser en Mint Browser bij om de schakelaar voor het verzamelen van incognitogegevens te verduidelijken
Hoewel Xiaomi de privacyproblemen heeft aangepakt met een nieuwe instellingenschakelaar, gebeurde er feitelijk dat de taal die voor de schakelaar werd gebruikt misleidend was en het tegenovergestelde bereikte van wat er was geschreven. Als Android-autoriteit wijst erop, de "verbeterde incognitomodus” toggle zei: “Geaggregeerde gegevensstatistieken worden niet geüpload als de incognitomodus is ingeschakeld”, wat gebruikers ertoe bracht te geloven dat het omdraaien van de schakelaar deze verklaring waar zou maken. Maar dit was niet het geval. De bewoording weerspiegelde de huidige status van de schakelaar en was geen waar/onwaar-verklaring die u kunt veranderen door de schakelaar om te zetten.
Oud gedrag
Nu heeft Xiaomi Mi Browser en Mint Browser bijgewerkt voor betere taal op deze schakelaar. De schakelaar heet nu "Help ons de Mi/Mint Browser te verbeteren", en de begeleidende tekst luidt: "Schakel dit in om gebruiksstatistieken met ons te delen wanneer de incognitomodus is ingeschakeld", waarbij de tekst hetzelfde blijft als je de schakelaar omdraait. Dit is veel duidelijker voor het doel en de actieve status van de instelling.
Nieuw gedrag
In beide versies moet de schakelaar uit staan als u niet wilt dat uw gegevens in de incognitomodus worden verzameld. Het is alleen de tekst die verandert om de staat beter weer te geven. De nieuwe update voor beide browsers wordt naar de Google Play Store gepusht.