Hace un par de días, Forbes publicó una historia importante sobre cómo Xiaomi recopilaba datos del navegador, incluidas las URL visitadas por los usuarios de Mi. Si bien la recopilación de datos es común entre la mayoría de los navegadores en el mercado hoy en día, el informe destaca que los términos de búsqueda y las URL se rastrearon incluso en un modo de navegador cerrado conocido como incógnito.
Hoy temprano, Xiaomi publicó un blog en respuesta a esta historia, explicando su lado de la historia. Puedes leer su respuesta oficial de aquí.
Para comprender mejor lo que está sucediendo en esta historia, resumí todas las acusaciones y las respuestas a cada una de ellas. También agregué que el investigador Andrew Tierney tenía que decir sobre cada una de las respuestas.
Encuentra 1:
Gabriel Kirlig (fue el primero en encontrar esto y explicarlo en Historias de Forbes) encontraron que Mi Browser y Mint Browser de Xiaomi rastrean todos los sitios web que visitó el usuario de Mi, incluidas las búsquedas en Google y Google. Duckucko El seguimiento era común incluso cuando el navegador se colocaba en modo privado o en modo incógnito. El teléfono también rastreó los datos de uso y los envió de vuelta a los servidores de Xiaomi.
Respuesta de Xiaomi:
Xiaomi permite la recopilación de datos del usuario, como "información del sistema, preferencias, uso de las funciones de la interfaz de usuario, capacidad de respuesta, rendimiento, uso de memoria e informes de fallos".
No menciona explícitamente los términos de búsqueda, pero agrega que recopila URL: " Se recopila una URL para identificar páginas web que se cargan lentamente; esto nos da una idea de la mejor manera de mejorar el rendimiento general del navegador ".
Xiaomi también agregó que recopila datos de visualización solo cuando el usuario ha iniciado sesión en su cuenta Mi y la configuración de sincronización está habilitada.
Xiaomi también confirmó que recopila estadísticas de usuario incluso en modo incógnito. Esto es sorprendente dado que las URL también son parte de las estadísticas del usuario (como lo confirma su declaración oficial).
Además del anuncio oficial de Mi Blog, el CEO de Xiaomi India dijo hoy en un video especial que Xiaomi recopila solo datos que los usuarios han acordado. También enfatizó que los datos recopilados de incógnito están "encriptados y anónimos". Puede ver el video a continuación (algunas partes en hindi, pero también lo explicó en inglés).
Respuesta del investigador:
Bueno, Andrew Tierney no estaba convencido por la respuesta de Xiaomi.
En primer lugar, hoy yo y muchos otros confirmamos nuevamente los datos en varios dispositivos. No hay duda de que el navegador Mint envía términos de búsqueda y URL en modo Incognto.
- Cybergibbons (@cybergibbons) 1 2020 de mayo
Aunque Xiaomi negó haber recopilado datos de usuarios de incógnito, Andrew lanzó un nuevo video hace solo unos minutos, demostrando cómo Xiaomi Mint Browser recopiló datos importantes de usuarios, incluso en modo privado. Es interesante ver que los datos recopilados tienen un UUID (identificador único universal) que no cambia durante al menos 24 horas. Por lo tanto, los datos recopilados y enviados a los servidores pueden ser rastreados por un usuario individual.
Hallazgo 2:
Mi información de usuario se envió a servidores remotos en países como Singapur y Rusia, con dominios web registrados en Beijing.
Respuesta de Xiaomi:
“Xiaomi está publicando información en una infraestructura de nube pública que está muy extendida en la industria. Toda la información de nuestros servicios y usuarios extranjeros se almacena en servidores en varios mercados extranjeros, donde se observan estrictamente las leyes y regulaciones locales sobre la protección de datos personales y con lo que cumplimos plenamente ”.
El CEO de Xiaomi India también dijo en un video que "Todos los datos de los usuarios de Mi en India permanecen en servidores indios".
Encuentra 3:
Los datos de usuario enviados a los servidores se codificaron utilizando base64, que es fácil de rastrear. Por lo tanto, los datos se pueden leer, al menos en el lado del cliente.
Respuesta de Xiaomi:
Bueno, Xiaomi realmente no ha tocado este tema en su blog. Mencionó que los datos enviados están encriptados usando el encriptado TLS 1.2. Por lo tanto, los datos transmitidos no pueden ser interceptados. Pero la compañía no habló sobre la codificación de datos base64 en el lado del cliente.
Esta imagen, proporcionada por Xiaomi, muestra que las estadísticas de uso se transmiten a través del protocolo TLS 1.2 HTTPS.
Respuesta del investigador:
Oh bueno, esto es TLS 1.2. Al menos algunos al azar no pueden interceptarlo.
No creo que esto haya sido discutido alguna vez. Este es el cifrado de transporte a los servidores, el envío de datos que no autoricé enviar. pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 2020 de mayo
Hallazgo 4:
Los datos de usuario recopilados no eran anónimos. Gaby y otros investigadores descubrieron que los datos de usuario enviados a los servidores de Xiaomi podrían identificarse para un usuario específico porque tiene un UUID designado (identificador único universal).
Respuesta de Xiaomi:
"Esta captura de pantalla muestra un código de cómo creamos tokens únicos generados aleatoriamente para agregarlos a las estadísticas de uso agregado, y estos tokens no corresponden a ninguna persona".
Respuesta del investigador:
Bueno, el video de demostración de Andrew mostró que a sus datos recopilados por el navegador se les asignó un UUID especial para todos los datos enviados durante 24 horas. La imagen utilizada por Xiaomi no le convenció para mostrar que los datos eran anónimos.
Estoy especialmente interesado, ya que este es el código después de la ofuscación: cb, etc. Muestra que esta no es una fuente no procesada.
Porque es esto
Pero, lo que es más importante, llamar al UUID "anónimo" no lo hace anónimo.
- Cybergibbons (@cybergibbons) 1 2020 de mayo
Nuestra toma:
Casi todos los navegadores del mundo recopilan datos de usuario. Algunos pueden limitar esto a informes de fallas, mientras que otros navegadores pueden ser un poco más invasivos y recopilar datos de uso.
Aunque no estamos seguros de cuántos recolectores de datos como Google Chrome y Firefox recopilan, sabemos que recopilar términos de búsqueda y URL, incluso en modo incógnito, no es normal.
Existe un modo de visualización especial o modo de incógnito específicamente para evitar el seguimiento. Y el video de demostración de Andrew muestra claramente cuántos datos se envían a los servidores de Xiaomi, incluidas las consultas de búsqueda y las URL de incógnito. Xiaomi afirma que estos datos están anonimizados (tal vez en el lado del servidor), pero deberían salir y explicar este proceso en detalle.
Las declaraciones oficiales de Xiaomi enfatizan que solo recopilan datos que el usuario ha aceptado. Por lo tanto, las empresas también deben aclarar si sus políticas de privacidad y recopilación de datos incluyen la recopilación de términos de búsqueda y otros datos del usuario, incluso en modo incógnito.
Llamar a este informe noticias falsas - No es la mejor respuesta. Xiaomi debería hablar y refutar cada uno de los hallazgos de dos investigadores. Si Xiaomi no puede hacer esto, la compañía debe explicar y revisar su política de recopilación de datos lo antes posible.
