Smartphone-urile Xiaomi sunt unanim acceptate să fie una dintre cele mai bune alegeri în ceea ce privește calitatea-preț disponibile pe piață în orice moment. Fiind dotate cu hardware puternic, la prețuri foarte competitive, în special la capătul inferior al pieței smartphone-urilor, aceste telefoane dau o ofertă pe care mulți oameni nu o pot refuza.
Xiaomi a fost, de asemenea, receptiv la nevoile comunității de dezvoltatori, cu decizii precum permiterea deblocării încărcătorului fără a sacrifica garanția producătorului – o combinație pe care o mulțime de OEM-uri populare o desconsideră, precum și îmbunătățirea considerabilă a versiunilor de la sursă ale kernel-ului. Aceste motive le fac să fie unele dintre cele mai populare dispozitive de la noi.
Cu toate acestea, rapoartele recente ale cercetătorilor în domeniul securității indică o problemă de confidențialitate îngrijorătoare observată pe browserele web ale Xiaomi. Colaboratorul de cibersecuritate al Forbes și editorul asociat Thomas Brewster, împreună cu cercetătorii în domeniul securității cibernetice Gabriel Cîrlig și Andrew Tierney au concluzionat recent într-un raport că diversele browsere web ale Xiaomi trimiteau date către serverele de la distanță. Aceștia susțin că datele trimise includ un istoric al tuturor site-urilor web vizitate, inclusiv adresele URL, toate interogările motoarelor de căutare și toate articolele vizualizate în fluxul de știri Xiaomi, împreună cu metadatele dispozitivului. Ceea ce este chiar îngrijorător pentru această afirmație privind colectarea de date este că acestea sunt colectate chiar dacă aparent navigați în „modul incognito”.
Această colectare de date se desfășoară aparent pe browserul de stoc preinstalat pe MIUI, precum și pe Mi Browser Pro și Mint Browser, ambele disponibile pentru descărcare prin intermediul Google Play Store (ceea ce înseamnă că le puteți dezinstala și instala alt browser mai sigur). Împreună, aceste browsere au peste 15 milioane de descărcări pe Play Store, în timp ce browserul de stoc este preîncărcat pe toate dispozitivele Xiaomi.
Dispozitivele testate au fost Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 și Xiaomi Mi Mix 3. Nu a existat o distincție între dispozitivele Xiaomi Android One sau MIUI, deoarece codul de colectare a fost găsit în browserul implicit oricum. Ca atare, această problemă nu pare a fi centrată pe MIUI, ci depinde de faptul că utilizați oricare dintre aceste trei browsere de pe dispozitiv, indiferent de sistemul de operare de instalat. Alte browsere, cum ar fi Google Chrome și Apple Safari, colectează mult mai puține date, limitându-se la utilizare și analize de blocare.
Xiaomi a răspuns confirmând aparent că datele de navigare pe care le-a colectat respectă pe deplin legile și reglementările locale privind problemele de confidențialitate a utilizatorilor. Informațiile colectate au fost consimțite de utilizator și anonimizate. Cu toate acestea, compania a negat afirmațiile din cercetare.
Afirmațiile cercetătorilor sunt false. Confidențialitatea și securitatea sunt preocuparea noastră cea mai mare.
Acest videoclip arată colectarea de date de navigare anonime, care este una dintre cele mai comune soluții adoptate de companiile de internet pentru a îmbunătăți experiența generală a browserului prin analizarea informațiilor care nu pot fi identificate personal.
Cercetătorii au constatat însă că această afirmație a anonimatului este dubioasă. Datele trimise de Xiaomi au fost recunoscute ca fiind „criptate”, dar au fost codate în base64, care poate fi ușor decodată. Deoarece datele de navigare pot fi decodificate într-o manieră destul de banală și din moment ce datele colectate conțineau și metadate ale dispozitivului, aceste date de navigare ar putea fi corelate cu acțiunile utilizatorilor individuali, fără efort semnificativ.
Mai mult, cercetătorii au descoperit că browserele Xiaomi dădeau ping în domenii legate de Sensors Analytics, o companie startup chinezească cunoscută și sub denumirea de Sensors Data, cunoscută pentru furnizarea de servicii de analiză comportamentală. Browser-rele conțineau și un API numit SensorDataAPI. Xiaomi este, de asemenea, listat ca client pe site-ul web Sensors Data.
Xiaomi a răspuns raportului de la Forbes negând asupra mai multor aspecte:
În timp ce Sensors Analytics oferă o soluție de analiză a datelor pentru Xiaomi, datele anonime colectate sunt stocate pe serverele proprii ale Xiaomi și nu vor fi partajate cu Sensors Analytics sau cu alte companii terțe.
Cercetătorii au răspuns împotriva refuzului lui Xiaomi cu o dovadă în plus a practicilor lor de colectare a datelor.
Here’s the request being made.
As a curl command on pastebin.https://t.co/44pCpBtQzD pic.twitter.com/Uj2bZZH5Pl
— Cybergibbons (@cybergibbons) April 30, 2020
The parameter data_list is the one I am interested in.
URL decode.
base64 decode.
Gunzip.
JSON data.
I don’t think that should be there. pic.twitter.com/5CYH5FU9E4
— Cybergibbons (@cybergibbons) April 30, 2020
Cu aceste informații la îndemână, se pare că există o problemă de confidențialitate îngrijorătoare în modul în care funcționează aceste browsere. Xiaomi a fost contactată pentru mai multe comentarii cu privire la aceste afirmații.
Iată răspunsul Xiaomi:
Am fost dezamăgiți să citească recent articolul din Forbes. Considerăm că au înțeles greșit ceea ce am comunicat cu privire la principiile și politica noastră privind confidențialitatea datelor. Confidențialitatea utilizatorului nostru și securitatea internetului sunt prioritare la Xiaomi; suntem siguri că respectăm cu strictețe și respectăm pe deplin legile și reglementările locale. Am răspuns la Forbes pentru a oferi claritate asupra acestei interpretări nefericite.
Compania confirmă că colectează „date statistice de utilizare agregate”, care include „informații despre sistem, preferințe, utilizare a funcțiilor interfeței utilizatorului, capacitate de reacție, performanță, utilizarea memoriei și rapoarte despre defecțiuni”. Aceștia afirmă că sunt informații care „ele singure nu pot fi folosite pentru a identifica o persoană”. Aceștia confirmă că URL-urile sunt colectate, dar că acest lucru este realizat pentru a „identifica paginile web care se încarcă încet”, astfel încât să gasească „cum să îmbunătățim cel mai bine performanțele generale de navigare”.
În continuare, compania afirmă că istoricul datelor de navigare individuale este sincronizat, dar că acest lucru se realizează numai atunci când „utilizatorul este logat în Mi Account… iar funcția de sincronizare a datelor este setată pe ‘On’ în Setări.” Aceștia neagă faptul că datele de navigare, în afară de datele statistice de utilizare agregată menționate anterior, sunt sincronizate atunci când utilizatorul a activat modul incognito.
Apoi, Xiaomi a publicat capturi de ecran cu fragmente de cod de la una dintre aplicațiile lor de browser (nu au specificat totuși ce browser) pe care susțin că le demonstrează spusele. Primul fragment de cod, conform Xiaomi, arată o metodă decompilată pentru „modul în care [creează] aceste token-uri unice generate aleatoriu pentru a se adăuga la statisticile de utilizare agregate.” Aceștia afirmă că „aceste token-uri nu corespund niciunei persoane”. Următorul fragment de cod se pare că este din codul sursă al browserului și arată o metodă pentru „modul în care Browserul Mi funcționează în modul incognito, unde nu vor fi sincronizate datele de navigare ale utilizatorului”. Al treilea fragment de cod demonstrează că statisticile de utilizare agregate pe care Xiaomi le colectează sunt „stocate pe domeniul Xiaomi” și nu sunt transmise la Sensor Analytics. În cele din urmă, a patra imagine „arată că datele statistice de utilizare sunt transferate cu protocolul HTTPS de criptare TLS 1.2.”
[one_half]
[/one_half][one_half_last]
[/one_half_last]
[one_half]
[/one_half][one_half_last]
[/one_half_last]
În sfârșit, Xiaomi citează apoi 4 certificări pe care software-ul lor le-a primit de la TrustArc și British Standard Institution (BSI). Aceste certificări includ ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 și TRUSTe.
Ca răspuns la această postare pe blog, cercetătorul în cibersecuritate, Andrew Tierney, a scris pe Twitter respingând afirmațiile lui Xiaomi. El afirmă că el și alți câțiva au reconfirmat concluziile pe mai multe dispozitive – că „nu există nici o îndoială pentru faptul că Browserul Mint trimite termeni de căutare și URL-uri în timp ce se află în modul Incognito”. El afirmă că codul publicat de Xiaomi nu demonstrează că „token-ele lor unice aleatorii” nu pot fi corelate cu date personale. Cercetătorii remarcă faptul că UUID pare să persiste pe parcursul sesiunilor de navigare și se schimbă numai atunci când browserul este reinstalat. Dacă Xiaomi stochează doar datele pe serverele proprii sau în altă parte nu i-a oprit pe cercetători să dovedească în continuare. În plus, cercetătorul afirmă că Xiaomi nu a fost acuzat că a trimis datele către serverele la distanță prin metode nesigure – Tierney observă că problema la dispoziție sunt datele în sine care sunt trimise.
E bine că Xiaomi a răspuns la aceste afirmații direct, dar explicația nu pare să satisfacă cercetătorii în acest moment. Vom urmări această poveste pentru noi evoluții.