Xiaomi verzamelt surfgedrag gebruikers via eigen browsers
Smartphonefabrikant Xiaomi verzamelt via de eigen browsers het surfgedrag van gebruikers. De gegevens worden echter geanonimiseerd, zo laat het bedrijf tegenover zakenblad Forbes weten. Forbes werd getipt door een onderzoeker die zag hoe de browser zijn surfgedrag verstuurde, ook wanneer de incognito-mode stond ingeschakeld. Een andere onderzoeker, Andrew Tierney, bevestigde dit.
Het gaat onder andere om de Mi Browser Pro en de Mint Browser, die bij elkaar meer dan 15 miljoen downloads hebben. Niet alleen versturen de browsers van Xiaomi bezochte websites door, ook zou er informatie over de telefoon in kwestie worden verzameld, waaronder het unieke id van het toestel en Androidversie, maar ook geopende mappen en geopende schermen.
"Mijn grootste privacyzorg is dat de verstuurde gegevens naar hun servers erg eenvoudig aan een specifieke gebruiker zijn te koppelen", zegt onderzoeker Gabriel Cirlig. Xiaomi bevestigt het verzamelen van het surfgedrag, maar ontkent dat dit in de incognito-mode plaatsvindt, ook al hebben de onderzoekers bewezen dat dit wel het geval is. Daarnaast worden de gegevens geanonimiseerd, aldus de smartphonefabrikant. Ook zouden gebruikers toestemming voor het verzamelen van de data geven.
Verder stelt Xiaomi dat het de gegevens versleuteld verstuurt. De smartphonefabrikant blijkt echter van base64 encoding gebruik te maken, wat eenvoudig te decoderen is. Daarnaast ontdekten de onderzoekers dat de browsers contact maken met domeinen van analyticsbedrijf Sensors Analytics en een API van het analyticsbedrijf bevatten. Xiaomi is klant van dit bedrijf, maar ontkent dat er data naar toe gaat. Cirlig ontdekte later dat het probleem niet alleen bij de browsers speelt. De muziekspeler van Xiaomi blijkt namelijk het luistergedrag door te sturen, zoals welke nummers de gebruiker luistert en wanneer.
Waarin verschilt het per saldo aan het eind van het liedje van bepaalde Amerikaanse bouwers?
En dan nog de 'Mi Browser' en 'Mint Browser' ?? Ik krijg spontaan trek in een loempia...
Niet zo gek met die schamele 15 miljoen downloads wereldwijd. Blijkbaar laten zelfs de digibeten die meuk links liggen.
Waarin verschilt het per saldo aan het eind van het liedje van bepaalde Amerikaanse bouwers?
Met de Amerikaanse wetgeving en hun ICT-beleid is al dan niet verplichte indirecte tracking-mogelijkheden door ICT-bedrijven geliëerd aan de overheid, maar die desondanks tóch een onafhankelijke positie willen uitstralen. Google is het meest duidelijke voorbeeld, alsmede Apple en Microsoft.
Zelfs mijn Mozilla Firefox kostte me een klein uurtje om hem goed te tweaken:oa de ingebouwde trackers onklaar te maken, al dan niet third-party, de fingerprinting uitschakelen, in de sandbox zetten, enz. Met wat hulp van privacytools.
Wat u zegt, ja...
Dan heb je ook nog de 'app' Spock, geen idee wat die doet, maar wil wel graag data online delen.
Voor mij sowieso never nooit geen product van Xiaomi meer (Samsung staat ook al op mijn blacklist). Telefoon zit vol bugs, onbruikbaar geworden doordat hij zomaar met grote regelmaat reboot (ook als de telefoon niet gebruikt wordt). Al lijken mij dit allemaal meer eigenschappen die behoren tot Android. Denk dan ook dat dit mijn laatste smartphone is geweest (gebruik hem sowieso al standaard zonder sim), Apple is veel en veel te duur voor wat je krijgt, neemt jouw privacy ook niet serieus en is mij te dicht getimmerd.
Het ergste is nog dat je vanuit Xiaomi geen enkele reactie krijgt. Eeuwig zonde, omdat qua hardware het een perfecte telefoon is.
Waarin verschilt het per saldo aan het eind van het liedje van bepaalde Amerikaanse bouwers?
Je denkt toch niet dat de Chinese fabrikanten privacy in zouden bouwen als ze dat _mogen_ maar niet _moesten_ ?
Privacy is qua markt marginaal - wat mensen roepen over hoe belangrijk ze het vinden is één ding, maar op het groepje dat niet alleen roept maar ook de portemonnaie ervoor wil trekken (of tijd investeren, of iets missen) ga je je businesscase niet maken.
De staatswens tot controle is maar één aspect , de belangrijkste driver achter uitgebreide telemetrie in Chinese telefoons en apps is dat het kan, mag en geld oplevert.
Het Chinese ecosysteem van apps , (targeted) advertising en gebruikersdata verwerken heel ver ontwikkeld - ik denk nog meer , en met meer inkomsten dan dat van google/facebook/Apple.
Wat dat betreft kan je veel beter op een Android toestel blijven zitten, dan weet je zeker dat:
a) Je data verkocht wordt
b) Je al vrij snel na aankoop geen updates meer krijgt van veel leveranciers.
c) Je een stuk kwetsbaarder bent voor malware uit de Playstore
Mijn iPhone 6 uit 2014 krijgt nu nog steeds updates, dus als je dat geen geld waard is moet je nu naar de Lidl rennen.
PS: De iPhone SE (2020) kost net geen 500 euro.
Kan zijn (perfecte telefoon) maar sinds COVID-19 staat China bij mij op de boycotlijst!
Nee, die zijn FOSS.
Open source software is de beste en Android AOSP zonder google services is veilger.
Nooit meet closed source software.
Er is een leverancier van smartphones die je data niet verkoopt, maar ja, mensen vinden die over het algemeen te duur.
PS: De iPhone SE (2020) kost net geen 500 euro.
500 euro uitgeven voor een telefoon waarmee je nog niet eens zelf een MP3'tje kan verplaatsen naar een andere map. Dit mede omdat geen bestandsbeheerder aan boord is.
Heb zo mijn geestelijke beperkingen, maar zo erg is het nu ook weer niet.
Daarnaast een telefoon die bij de eerste opstart gelijk jouw naw-gegevens wil, je moet het maar willen.
PS: De iPhone SE (2020) kost net geen 500 euro.
500 euro uitgeven voor een telefoon waarmee je nog niet eens zelf een MP3'tje kan verplaatsen naar een andere map. Dit mede omdat geen bestandsbeheerder aan boord is.
Heb zo mijn geestelijke beperkingen, maar zo erg is het nu ook weer niet.
Daarnaast een telefoon die bij de eerste opstart gelijk jouw naw-gegevens wil, je moet het maar willen.
NAW is niet nodig, maar dat heb je zeker van horen vertellen? Ik kan zonder een account een iPhone gewoon activeren en al helemaal zonder NAW of creditcard gegevens.
En ja, lekker handig controle over je telefoon kan je er volledig gecontroleerd mooi malware opzetten, mooi spul dat root worden. ;-)
Het komt nog wel ooit goed met die geestelijke beperkingen van je.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
