Pesquisadores de segurança cibernética encontraram evidências de que os navegadores da Xiaomi coletam informações de dados de navegação mesmo no modo de navegação anônima. Continue lendo para saber mais!
Atualização 3 (21/05/2020 às 01h48 ET): A Xiaomi atualizou as configurações do seu navegador para ser mais clara em sua finalidade, eliminando confusões anteriores.
Atualização 2 (03/05/2020 às 10h14 ET): Na atualização da postagem do blog, a Xiaomi mencionou que seus navegadores serão atualizados com uma opção para permitir que os usuários desativem o rastreamento no modo de navegação anônima.
Atualização 1 (01/05/2020 às 15h36 EST): A Xiaomi publicou uma postagem no blog em resposta a essas alegações. Role para baixo para ver a atualização. A história original, publicada em 1º de maio de 2020, às 06h18 EST, é a seguinte.
Os smartphones Xiaomi são unanimemente considerados uma das compras de melhor valor disponíveis no mercado em qualquer momento. Empacotando alguns hardware insano em alguns preços muito lucrativos,
especialmente na extremidade inferior do mercado de smartphones, esses telefones fazem uma oferta que muitas pessoas simplesmente não podem recusar. A Xiaomi também tem sido receptiva às necessidades da comunidade de desenvolvedores, com decisões como permitindo o desbloqueio do bootloader sem sacrificar a garantia do fabricante - uma combinação que muitos outros OEMs populares descartam, além de melhorar enormemente seus lançamentos de fontes do kernel. Esses motivos os tornam um dos dispositivos mais populares em nossos fóruns, e eles conquistaram esse lugar de popularidade por direito.No entanto, relatórios recentes de investigadores de segurança apontam para um preocupante problema de privacidade observado nos navegadores da Xiaomi. Colaborador e editor associado de segurança cibernética da Forbes Thomas Brewster, junto com pesquisadores de segurança cibernética Gabriel Cirlig e André Tierney recentemente concluiu num relatório que os vários navegadores da Xiaomi estavam enviando dados para servidores remotos. Alegam que os dados enviados incluíam um histórico de todos os sites visitados, incluindo os URLs, todas as consultas do mecanismo de pesquisa e todos os itens visualizados no feed de notícias da Xiaomi, junto com o dispositivo metadados. O que é ainda mais preocupante sobre essa alegação de coleta de dados é que esses dados estão sendo coletados mesmo que você aparentemente navegue com o “modo de navegação anônima” ativado.
Esta coleta de dados aparentemente ocorre no navegador padrão pré-instalado no MIUI, bem como Mi Navegador Pro e Navegador Mint, ambos disponíveis para download na Google Play Store. Juntos, esses navegadores têm mais de 15 milhões de downloads na Play Store, enquanto o navegador padrão vem pré-carregado em todos os dispositivos Xiaomi. Os dispositivos testados incluem o Xiaomi Redmi Note 8, o Xiaomi Mi A1, o Xiaomi Mi 10, o Xiaomi Redmi K20 e o Xiaomi Mi Mix 3. Não houve distinção entre os dispositivos Android One ou MIUI da Xiaomi, já que o código de coleta foi encontrado no navegador padrão de qualquer maneira. Como tal, este problema não parece ser centrado no MIUI, mas depende se você usa algum desses três navegadores no seu dispositivo, independentemente do sistema operacional subjacente. Outros navegadores, como o Google Chrome e o Apple Safari, coletam muito menos dados, restringindo-se ao uso e à análise de falhas.
A Xiaomi respondeu aparentemente confirmando que os dados de navegação coletados estavam em total conformidade com as leis e regulamentos locais sobre questões de privacidade de dados do usuário. As informações coletadas foram consentidas pelo usuário e anonimizadas. No entanto, a empresa negou as alegações da pesquisa.
As afirmações da pesquisa são falsas. Privacidade e segurança são as principais preocupações.
Este vídeo mostra a coleta de dados de navegação anônima, que é uma das soluções mais comuns adotadas por empresas de Internet para melhorar a experiência geral do produto do navegador por meio da análise de dados não pessoalmente identificáveis Informação.
Os pesquisadores, no entanto, consideraram essa reivindicação de anonimato duvidosa. Os dados que a Xiaomi enviava eram reconhecidamente “criptografados”, mas estavam codificados em base64, que pode ser facilmente decodificado. Como os dados de navegação podem ser decodificado de uma maneira bastante trivial, e como os dados coletados também continham metadados do dispositivo, esses dados de navegação poderiam aparentemente ser correlacionados às ações de usuários individuais sem esforço significativo.
Além disso, os pesquisadores descobriram que os navegadores Xiaomi estavam executando ping em domínios relacionados a sensores Analytics, uma startup chinesa também conhecida como Sensors Data, conhecida por fornecer análises comportamentais Serviços. Os navegadores também continham uma API chamada SensorDataAPI. A Xiaomi também está listada como cliente no Site de dados de sensores.
A Xiaomi respondeu ao relatório da Forbes negando vários aspectos:
Embora o Sensors Analytics forneça uma solução de análise de dados para a Xiaomi, os dados anônimos coletados são armazenado nos próprios servidores da Xiaomi e não será compartilhado com Sensors Analytics ou qualquer outro terceiro empresas.
Os pesquisadores responderam contra a negação da Xiaomi com mais provas de sua prática de coleta de dados.
Com as informações disponíveis, parece haver um problema preocupante de privacidade na forma como esses navegadores funcionam. Entramos em contato com a Xiaomi para obter mais comentários sobre essas afirmações.
Fonte: Forbes
Atualização 1: Xiaomi responde em postagem do blog
Em um postagem oficial no blog no Mi.com, a Xiaomi negou veementemente as alegações de que eles estavam violando a privacidade do usuário.
“A Xiaomi ficou desapontada ao ler o artigo recente da Forbes. Sentimos que eles entenderam mal o que comunicamos em relação aos nossos princípios e política de privacidade de dados. A privacidade e a segurança da Internet de nossos usuários são prioridade máxima na Xiaomi; estamos confiantes de que seguimos rigorosamente e estamos em total conformidade com as leis e regulamentos locais. Entramos em contato com a Forbes para esclarecer essa infeliz interpretação”.
A empresa confirma que coleta “dados estatísticos de uso agregados”, que incluem “informações do sistema, preferências, uso de recursos da interface do usuário, capacidade de resposta, desempenho, uso de memória e relatórios de falhas." Eles afirmam que esta informação "não pode ser usada por si só para identificar qualquer indivíduo." Eles confirmam que os URLs sejam coletados, mas que isso seja feito para "identificar páginas da web que carregam lentamente" para que possam descobrir "como melhorar melhor a navegação geral desempenho."
Em seguida, a empresa afirma que o histórico de dados de navegação individual é sincronizado, mas que isso só é feito quando "o usuário está conectado à conta Mi... e a função de sincronização de dados está definida para 'Ativado' em Configurações." Eles negam que os dados de navegação, além dos dados de estatísticas de uso agregados mencionados acima, estejam sendo sincronizados quando o usuário ativou o modo de navegação anônima.
A Xiaomi então publicou capturas de tela de trechos de código de um de seus aplicativos de navegador (no entanto, eles não especificaram qual navegador) que afirmam demonstrar seus pontos de vista. O primeiro trecho de código, de acordo com Xiaomi, mostra um método descompilado para “como [eles] criam tokens exclusivos gerados aleatoriamente para anexar às estatísticas de uso agregadas”. Eles afirmam que “estes tokens não correspondem a nenhum indivíduo." O próximo trecho de código é aparentemente do código-fonte do navegador e mostra um método para "como o Mi Browser funciona no modo de navegação anônima, onde não os dados de navegação do usuário serão sincronizados." O terceiro trecho de código demonstra que as estatísticas de uso agregadas que a Xiaomi coleta são "armazenadas no domínio da Xiaomi" e não são passadas para o Sensor Análise. Por fim, a quarta imagem “mostra que os dados estatísticos de uso são transferidos com protocolo HTTPS de criptografia TLS 1.2”.
Para finalizar, a Xiaomi cita 4 certificações que seu software recebeu da TrustArc e da British Standard Institution (BSI). Essas certificações incluem ISO27001:2013, ISO27018:2014, ISO29151:2017 e TRUSTe.
Em resposta a esta postagem do blog, o pesquisador de segurança cibernética Andrew Tierney levou para o Twitter para refutar as afirmações da Xiaomi. Ele afirma que ele e vários outros confirmaram as descobertas em vários dispositivos - que "não há dúvida de que o navegador Mint envia termos de pesquisa e URLS enquanto no modo de navegação anônima." Ele afirma que o código que a Xiaomi publicou não demonstra que seus "tokens exclusivos gerados aleatoriamente" não possam ser correlacionados a indivíduos. Os pesquisadores observam que o UUID parece persistir nas sessões de navegação e só muda quando o navegador é reinstalado. Se a Xiaomi armazena os dados apenas em seus próprios servidores ou em outro lugar também não foi um ponto de discórdia para o pesquisador. Além disso, o pesquisador afirma que a Xiaomi não foi acusada de enviar os dados para servidores remotos através de métodos inseguros - o Sr. Tierney observa que a questão em questão são os próprios dados que estão sendo enviado.
Estamos felizes em ver a Xiaomi abordar essas alegações diretamente, mas a explicação não parece satisfazer os pesquisadores neste momento. Ficaremos de olho nesta história para futuros desenvolvimentos.
Atualização 2: Xiaomi oferecerá opção de cancelamento na próxima atualização do navegador
Xiaomi atualizou seu postagem no blog para anunciar que a próxima atualização do Mint Browser e do Mi Browser incluirá uma opção no modo de navegação anônima para desligar a coleta de dados "agregados". As atualizações de software serão enviadas à Google Play Store para aprovação hoje e deverão estar disponíveis para os usuários em breve.
Resta saber se essa coleta de dados permanecerá habilitada por padrão no modo de navegação anônima ou não. Esperamos que não. Ainda assim, ter a opção de cancelar funciona para resolver algumas questões de privacidade.
Atualização 3: Xiaomi está atualizando seu Mi Browser e Mint Browser para esclarecer sua alternância de coleta de dados anônima
Embora a Xiaomi tenha resolvido as questões de privacidade com uma nova alternância de configurações, o que realmente aconteceu foi que a linguagem usada para a alternância era enganosa, alcançando o oposto do que estava escrito. Como Autoridade Android aponta, o "modo de navegação anônima aprimorado”alternar disse:“As estatísticas de dados agregados não serão enviadas quando o modo de navegação anônima estiver ativado”, o que levou os usuários a acreditar que ativar o botão tornaria essa afirmação verdadeira. Mas este não foi o caso. O texto refletia o estado atual da alternância e não era uma afirmação verdadeiro/falso que você altera ao apertar o botão.
Comportamento antigo
Agora, a Xiaomi atualizou o Mi Browser e o Mint Browser para ter uma linguagem melhor nesta alternância. A alternância agora é chamada de "Ajude-nos a melhorar o navegador Mi/Mint", e o texto que acompanha diz"Ative para compartilhar estatísticas de uso conosco quando o modo de navegação anônima estiver ativado", com o texto permanecendo o mesmo quando você aperta o botão. Isto é muito mais claro para o propósito e o estado ativo da configuração.
Novo comportamento
Em ambas as versões, a alternância precisa estar desligada se você não quiser que seus dados sejam coletados no modo de navegação anônima. É apenas o texto que está mudando para refletir melhor o estado. A nova atualização para ambos os navegadores está sendo enviada para a Google Play Store.