Een paar dagen geleden plaatste Forbes een belangrijk verhaal over hoe Xiaomi browsergegevens verzamelde, inclusief URL's die door Mi-gebruikers werden bezocht. Hoewel gegevensverzameling in de meeste browsers op de markt gebruikelijk is, benadrukt het rapport dat zoektermen en URL's zelfs in een gesloten browsermodus die incognito wordt genoemd, werden bijgehouden.
Eerder vandaag publiceerde Xiaomi een blog als reactie op dit verhaal, waarin de kant van het verhaal werd uitgelegd. Je kunt hun officiële antwoord lezen van hier.
Om beter te begrijpen wat er in dit verhaal gebeurt, heb ik alle beschuldigingen en de antwoorden op elk van hen samengevat. Ik voegde er ook aan toe dat onderzoeker Andrew Tierney over elk van de antwoorden te zeggen had.
Zoek 1:
Gabriel Kirlig (hij was de eerste die dit vond en het uitlegde Forbes verhalen) ontdekte dat Xiaomi Mi Browser en Xiaomi Mint Browser alle websites volgen die door de Mi-gebruiker zijn bezocht, inclusief zoekopdrachten op zowel Google als Google. Duckucko Bijhouden was gebruikelijk, zelfs wanneer de browser in de privémodus of incognitomodus was geplaatst. De telefoon volgde ook gebruiksgegevens en stuurde deze terug naar Xiaomi-servers.
Xiaomi antwoord:
Xiaomi staat het verzamelen van gebruikersgegevens toe, zoals "systeeminformatie, voorkeuren, gebruik van gebruikersinterfacefuncties, reactievermogen, prestaties, geheugengebruik en crashrapporten".
Het vermeldt niet expliciet zoektermen, maar voegt eraan toe dat het URL's verzamelt - " Er wordt een URL verzameld om webpagina's te identificeren die langzaam laden; dit geeft ons een idee hoe we de algehele browserprestaties het beste kunnen verbeteren. "
Xiaomi voegde er ook aan toe dat het alleen kijkgegevens verzamelt wanneer de gebruiker zich heeft aangemeld bij zijn Mi-account en de synchronisatie-instelling is ingeschakeld.
Xiaomi bevestigde ook dat het gebruikersstatistieken verzamelt, zelfs in incognitomodus. Dit is verrassend aangezien URL's ook deel uitmaken van gebruikersstatistieken (zoals bevestigd door hun officiële verklaring).
Naast de officiële aankondiging door Mi Blog, zei de CEO van Xiaomi India vandaag in een speciale video dat Xiaomi verzamelt alleen gegevens waarmee gebruikers hebben ingestemd. Hij benadrukte ook dat incognito verzamelde gegevens "versleuteld en anoniem" zijn. Je kunt de onderstaande video bekijken (sommige delen in het Hindi, maar hij heeft het ook in het Engels uitgelegd).
Antwoord van de onderzoeker:
Nou, Andrew Tierney was niet overtuigd door het antwoord van Xiaomi.
Ten eerste hebben ik en verschillende anderen vandaag de gegevens op verschillende apparaten opnieuw bevestigd. Het lijdt geen twijfel dat de Mint-browser zoektermen en URL's in Incognto-modus verzendt.
- Cybergibbons (@cybergibbons) 1 mei 2020 stad
Hoewel Xiaomi ontkende dat het incognito gebruikersgegevens verzamelde, heeft Andrew een paar minuten geleden een nieuwe video uitgebracht, die aantoont hoe Xiaomi Mint Browser belangrijke gebruikersgegevens verzamelde, zelfs in privémodus. Het is interessant om te zien dat de verzamelde gegevens een UUID (universele unieke identificator) hebben die gedurende ten minste 24 uur niet verandert. Gegevens die worden verzameld en naar servers worden verzonden, kunnen dus mogelijk door een individuele gebruiker worden gevolgd.
Het vinden van 2:
Mi-gebruikersgegevens werden verzonden naar externe servers in landen zoals Singapore en Rusland, met webdomeinen geregistreerd in Beijing.
Xiaomi antwoord:
“Xiaomi plaatst informatie op een openbare cloudinfrastructuur die wijdverbreid is in de branche. Alle informatie van onze buitenlandse diensten en gebruikers wordt opgeslagen op servers in verschillende buitenlandse markten, waar de lokale wet- en regelgeving inzake de bescherming van persoonsgegevens strikt wordt nageleefd en die wij volledig naleven. ”
De CEO van Xiaomi India zei ook in een video dat "Alle gegevens van Mi-gebruikers in India op Indiase servers blijven staan."
Zoek 3:
Gebruikersgegevens die naar de servers zijn verzonden, zijn gecodeerd met base64, wat gemakkelijk te volgen is. Gegevens kunnen dus worden gelezen, althans aan de kant van de klant.
Xiaomi antwoord:
Welnu, Xiaomi heeft dit probleem niet echt op zijn blog besproken. Hij zei dat de verzonden gegevens zijn gecodeerd met TLS 1.2-codering. De verzonden gegevens kunnen dus niet worden onderschept. Maar het bedrijf sprak niet over base64-codering van gegevens aan de kant van de klant.
Deze afbeelding, geleverd door Xiaomi, laat zien dat gebruiksstatistieken worden verzonden via het TLS 1.2 HTTPS-protocol.
Antwoord van de onderzoeker:
Ach, dit is TLS 1.2. Een willekeurige kan hem tenminste niet onderscheppen.
Ik denk niet dat daar ooit over is gesproken. Dit is transportencryptie naar servers, het verzenden van gegevens waarvoor ik geen toestemming heb gegeven. pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 mei 2020 stad
Het vinden van 4:
De verzamelde gebruikersgegevens waren niet anoniem. Gaby en andere onderzoekers ontdekten dat gebruikersgegevens die naar Xiaomi-servers zijn verzonden, mogelijk voor een bepaalde gebruiker kunnen worden geïdentificeerd omdat hij een aangewezen UUID (universele unieke identificatie) heeft.
Xiaomi antwoord:
"Deze schermafbeelding toont een code van hoe we willekeurig gegenereerde unieke tokens maken die aan de totale gebruiksstatistieken worden toegevoegd, en deze tokens komen met geen enkele persoon overeen."
Antwoord van de onderzoeker:
Welnu, de demovideo van Andrew toonde aan dat zijn door de browser verzamelde gegevens een speciale UUID kregen toegewezen voor alle gegevens die binnen 24 uur werden verzonden. Hij was niet overtuigd door de afbeelding die Xiaomi gebruikte om aan te tonen dat de gegevens anoniem waren.
Ik ben vooral geïnteresseerd, want dit is de code na verduistering - cb, etc. Het laat zien dat dit geen onbewerkte bron is.
Hoe komt dat?
Maar wat nog belangrijker is, door de UUID 'anoniem' te noemen, wordt deze niet anoniem gemaakt.
- Cybergibbons (@cybergibbons) 1 mei 2020 stad
Onze mening:
Bijna elke browser ter wereld verzamelt gebruikersgegevens. Sommigen kunnen dit beperken tot crashrapporten, terwijl andere browsers iets invasiever kunnen zijn en gebruiksgegevens verzamelen.
Hoewel we niet zeker weten hoeveel gegevensbrowsers zoals Google Chrome en Firefox verzamelen, weten we dat het verzamelen van zoektermen en URL's, zelfs in incognitomodus, niet normaal is.
Er is specifiek een speciale weergavemodus of incognitomodus om volgen te voorkomen. En de demovideo van Andrew laat duidelijk zien hoeveel gegevens worden teruggestuurd naar Xiaomi-servers, inclusief zoekopdrachten en incognito-URL's. Xiaomi beweert dat deze gegevens geanonimiseerd zijn (misschien aan de serverzijde), maar ze zouden dit proces in detail moeten uitleggen.
De officiële verklaringen van Xiaomi benadrukken dat ze alleen gegevens verzamelen waar de gebruiker mee heeft ingestemd. Daarom moeten bedrijven ook verduidelijken of hun privacy- en gegevensverzamelingsbeleid het verzamelen van zoektermen en andere gebruikersgegevens omvat, zelfs in incognitomodus.
Bel dit rapport nep nieuws - niet het beste antwoord. Xiaomi zou zich moeten uitspreken en elk van de bevindingen van twee onderzoekers moeten weerleggen. Als Xiaomi dit niet kan, moet het bedrijf het gegevensverzamelingsbeleid zo snel mogelijk uitleggen en herzien.
