Des chercheurs accusent les navigateurs Web Xiaomi de collecter des données de navigation – Monter un serveur MineCraft

Les smartphones Xiaomi sont unanimement convenus d'être l'un des meilleurs achats de valeur disponibles sur le marché à tout moment. Emballant du matériel insensé à des prix très lucratifs, en particulier à l'extrémité inférieure du marché des smartphones, ces téléphones font une offre que beaucoup de gens ne peuvent tout simplement pas refuser. Xiaomi a également été réceptif aux besoins de la communauté des développeurs, avec des décisions telles que permettre le déverrouillage du chargeur de démarrage sans sacrifier la garantie du fabricant – une combinaison que beaucoup d'autres OEM populaires rejettent, ainsi que d'améliorer considérablement leurs versions sources du noyau. Ces raisons en font l'un des appareils les plus populaires sur nos forums, et ils ont légitimement gagné cette place de popularité.

Cependant, des rapports récents de chercheurs en sécurité indiquent un problème de confidentialité inquiétant observé sur les navigateurs Web de Xiaomi. Contributeur et éditeur associé de Forbes en cybersécurité Thomas Brewster, avec des chercheurs en cybersécurité Gabriel Cirlig et Andrew Tierney a récemment conclu dans un rapport que les différents navigateurs Web de Xiaomi envoyaient des données à des serveurs distants. Ils allèguent que les données envoyées comprenaient un historique de tous les sites Web visités, y compris les URL, toutes les requêtes des moteurs de recherche et tous les éléments consultés sur le fil d'actualités de Xiaomi, ainsi que les métadonnées de l'appareil. Ce qui est même inquiétant à propos de cette allégation de collecte de données, c'est que ces données sont collectées même si vous semblez naviguer avec le "mode incognito" activé.

Cette collecte de données se produit apparemment sur le navigateur de stock pré-installé sur MIUI, ainsi que sur Mi Browser Pro et Mint Browser, tous deux disponibles en téléchargement via le Google Play Store. Ensemble, ces navigateurs ont plus de 15 millions de téléchargements sur le Play Store, tandis que le navigateur de stock est préchargé sur tous les appareils Xiaomi. Les appareils testés incluent le Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 et Xiaomi Mi Mix 3. Il n'y avait pas de distinction entre les appareils Android One ou MIUI de Xiaomi, car le code de collecte se trouvait dans le navigateur par défaut de toute façon. En tant que tel, ce problème ne semble pas être centré sur MIUI, mais dépend de si vous utilisez l'un de ces trois navigateurs sur votre appareil, quel que soit le système d'exploitation sous-jacent. D'autres navigateurs, comme Google Chrome et Apple Safari, collectent beaucoup moins de données, se limitant à l'analyse de l'utilisation et des plantages.

Xiaomi a répondu en confirmant apparemment que les données de navigation qu'il collectait étaient pleinement conformes aux lois et réglementations locales en matière de confidentialité des données des utilisateurs. Les informations collectées ont été approuvées par l'utilisateur et anonymisées. Cependant, la société a nié les affirmations de la recherche.

Les allégations de recherche sont fausses. La confidentialité et la sécurité sont des préoccupations majeures.

Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus courantes adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables.

Les chercheurs ont cependant trouvé cette affirmation d'anonymat douteuse. Les données que Xiaomi envoyait étaient certes «cryptées», mais elles étaient encodées en base64, qui peut facilement être décodée. Étant donné que les données de navigation peuvent être décodées de manière plutôt triviale et que les données collectées contenaient également des métadonnées d'appareil, ces données de navigation pourraient apparemment être corrélées aux actions des utilisateurs individuels sans effort significatif.

De plus, les chercheurs ont découvert que les navigateurs Xiaomi testaient des domaines liés à Sensors Analytics, une startup chinoise également connue sous le nom de Sensors Data, connue pour fournir des services d'analyse comportementale. Les navigateurs contenaient également une API appelée SensorDataAPI. Xiaomi est également répertorié en tant que client sur le site Web Sensors Data.

Xiaomi a répondu au rapport de Forbes en déniant plusieurs aspects:

Alors que Sensors Analytics fournit une solution d'analyse de données pour Xiaomi, les données anonymes collectées sont stockées sur les propres serveurs de Xiaomi et ne seront pas partagées avec Sensors Analytics ou toute autre société tierce.

Les chercheurs ont répondu contre le déni de Xiaomi avec preuve supplémentaire de leur pratique de collecte de données.

Le paramètre data_list est celui qui m'intéresse.

Décodage d'URL.

décodage base64.

Gunzip.

Données JSON.

Je ne pense pas que cela devrait être là. pic.twitter.com/5CYH5FU9E4

– Cybergibbons (@cybergibbons) 30 avril 2020

Avec les informations disponibles, il semble y avoir un problème de confidentialité inquiétant dans le fonctionnement de ces navigateurs. Nous avons contacté Xiaomi pour d'autres commentaires sur ces affirmations.

Source: Forbes

Mise à jour 1: Xiaomi répond dans un article de blog

Dans un article de blog officiel sur Mi.com, Xiaomi a fermement nié les allégations selon lesquelles ils violaient la vie privée des utilisateurs.

«Xiaomi a été déçu de lire le récent article de Forbes. Nous pensons qu'ils ont mal compris ce que nous avons communiqué concernant nos principes et notre politique de confidentialité des données. La confidentialité de nos utilisateurs et la sécurité Internet sont de la plus haute priorité chez Xiaomi; nous sommes convaincus que nous suivons strictement et sommes pleinement conformes aux lois et réglementations locales. Nous avons contacté Forbes pour clarifier cette malheureuse mauvaise interprétation. »

La société confirme qu'elle collecte des «données agrégées de statistiques d'utilisation», qui incluent «les informations système, les préférences, l'utilisation des fonctionnalités de l'interface utilisateur, la réactivité, les performances, l'utilisation de la mémoire et les rapports d'erreur». Ils déclarent que ces informations «ne peuvent pas à elles seules être utilisées pour identifier une personne». Ils confirment que les URL sont collectées, mais que cela est fait pour «identifier les pages Web qui se chargent lentement» afin de pouvoir déterminer «comment améliorer au mieux les performances globales de navigation».

Ensuite, la société déclare que l’historique des données de navigation individuelle est synchronisé, mais que cela n’est fait que lorsque «l’utilisateur est connecté à Mi Account… et que la fonction de synchronisation des données est définie sur« Activé »sous Paramètres.» Ils nient que les données de navigation, à l'exception des données de statistiques d'utilisation agrégées susmentionnées, soient synchronisées lorsque l'utilisateur a activé le mode navigation privée.

Xiaomi a ensuite publié des captures d'écran d'extraits de code provenant de l'une de leurs applications de navigateur (ils n'ont pas précisé quel navigateur, cependant) qui, selon eux, démontrent leurs points. Le premier extrait de code, selon Xiaomi, montre une méthode décompilée pour «comment [they] créer des jetons uniques générés aléatoirement à ajouter aux statistiques d'utilisation agrégées. » Ils déclarent que «ces jetons ne correspondent à aucun individu». L'extrait de code suivant est apparemment issu du code source du navigateur et montre une méthode pour «comment le Mi Browser fonctionne en mode navigation privée, où aucune donnée de navigation utilisateur ne sera synchronisée». Le troisième extrait de code montre que les statistiques d'utilisation agrégées que Xiaomi recueille sont «stockées sur le domaine de Xiaomi» et ne sont pas transmises à Sensor Analytics. Enfin, la quatrième image «montre que les données statistiques d'utilisation sont transférées avec le protocole HTTPS du cryptage TLS 1.2».

Pour couronner le tout, Xiaomi cite ensuite 4 certifications que leur logiciel a reçues de TrustArc et de la British Standard Institution (BSI). Ces certifications incluent ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 et TRUSTe.

En réponse à ce billet de blog, le chercheur en cybersécurité Andrew Tierney a pris Twitter pour réfuter les affirmations de Xiaomi. Il déclare que lui et plusieurs autres ont confirmé à nouveau les résultats sur plusieurs appareils – qu'il "ne fait aucun doute que le navigateur Mint envoie des termes de recherche et des URL en mode Incognito". Il déclare que le code que Xiaomi a publié ne démontre pas que leurs "jetons uniques générés aléatoirement" ne peuvent pas être corrélés à des individus. Les chercheurs notent que l'UUID semble persister entre les sessions de navigation et ne change que lorsque le navigateur est réinstallé. Que Xiaomi stocke uniquement les données sur leurs propres serveurs ou ailleurs n'était pas un sujet de controverse pour le chercheur également. En outre, le chercheur déclare que Xiaomi n'a pas été accusé d'envoyer les données à des serveurs distants par des méthodes non sécurisées – M. Tierney note que le problème à résoudre concerne les données elles-mêmes qui sont envoyées.

Nous sommes heureux de voir Xiaomi répondre directement à ces allégations, mais l'explication ne semble pas satisfaire les chercheurs à ce stade. Nous garderons un œil sur cette histoire pour de nouveaux développements.

Mise à jour 2: Xiaomi offrira une option de désinscription dans la prochaine mise à jour du navigateur

Xiaomi a mis à jour son article de blog pour annoncer que la prochaine mise à jour du navigateur Mint et du navigateur Mi comprendra une option en mode navigation privée pour désactiver la collecte de données «agrégées». Les mises à jour logicielles seront soumises au Google Play Store pour approbation aujourd'hui même et devraient être disponibles pour les utilisateurs très bientôt.

Il reste à voir si cette collecte de données restera activée par défaut en mode navigation privée ou non. Nous espérons que non. Pourtant, avoir une option de retrait fonctionne pour résoudre certains problèmes de confidentialité.

Mise à jour 3: Xiaomi met à jour son navigateur Mi et son navigateur Mint pour clarifier son basculement de collecte de données incognito

Bien que Xiaomi ait répondu aux problèmes de confidentialité avec une nouvelle bascule de paramètres, ce qui s'est réellement passé, c'est que la langue utilisée pour la bascule était trompeuse, atteignant le contraire de ce qui était écrit. Comme Autorité Android souligne que le «mode incognito amélioré"Bascule dit:"Les statistiques de données agrégées ne seront pas téléchargées lorsque le mode navigation privée est activé», Ce qui a amené les utilisateurs à croire que l'activation de la bascule rendrait cette affirmation vraie. Mais ce ne fut pas le cas. Le libellé reflétait l'état actuel de la bascule et n'était pas une déclaration vraie / fausse que vous modifiez en actionnant le commutateur.

Vieux comportement

Maintenant, Xiaomi a mis à jour le navigateur Mi et le navigateur Mint pour avoir une meilleure langue sur cette bascule. La bascule est maintenant appelée "Aidez-nous à améliorer le navigateur Mi / Mint", Et le texte d'accompagnement dit"Activer pour partager les statistiques d'utilisation avec nous lorsque le mode navigation privée est activé", Le texte restant le même lorsque vous actionnez l'interrupteur. Ceci est beaucoup plus clair pour le but et l'état actif du paramètre.

Nouveau comportement

Dans les deux versions, la bascule doit être désactivée si vous ne souhaitez pas que vos données soient collectées en mode navigation privée. C'est juste le texte qui change pour mieux refléter l'état. La nouvelle mise à jour des deux navigateurs est envoyée au Google Play Store.