Smartphonefabrikant Xiaomi verzamelt via de eigen browsers het surfgedrag van gebruikers. De gegevens worden echter geanonimiseerd, zo laat het bedrijf tegenover zakenblad Forbes weten. Forbes werd getipt door een onderzoeker die zag hoe de browser zijn surfgedrag verstuurde, ook wanneer de incognito-mode stond ingeschakeld. Een andere onderzoeker, Andrew Tierney, bevestigde dit.
Het gaat onder andere om de Mi Browser Pro en de Mint Browser, die bij elkaar meer dan 15 miljoen downloads hebben. Niet alleen versturen de browsers van Xiaomi bezochte websites door, ook zou er informatie over de telefoon in kwestie worden verzameld, waaronder het unieke id van het toestel en Androidversie, maar ook geopende mappen en geopende schermen.
"Mijn grootste privacyzorg is dat de verstuurde gegevens naar hun servers erg eenvoudig aan een specifieke gebruiker zijn te koppelen", zegt onderzoeker Gabriel Cirlig. Xiaomi bevestigt het verzamelen van het surfgedrag, maar ontkent dat dit in de incognito-mode plaatsvindt, ook al hebben de onderzoekers bewezen dat dit wel het geval is. Daarnaast worden de gegevens geanonimiseerd, aldus de smartphonefabrikant. Ook zouden gebruikers toestemming voor het verzamelen van de data geven.
Verder stelt Xiaomi dat het de gegevens versleuteld verstuurt. De smartphonefabrikant blijkt echter van base64 encoding gebruik te maken, wat eenvoudig te decoderen is. Daarnaast ontdekten de onderzoekers dat de browsers contact maken met domeinen van analyticsbedrijf Sensors Analytics en een API van het analyticsbedrijf bevatten. Xiaomi is klant van dit bedrijf, maar ontkent dat er data naar toe gaat. Cirlig ontdekte later dat het probleem niet alleen bij de browsers speelt. De muziekspeler van Xiaomi blijkt namelijk het luistergedrag door te sturen, zoals welke nummers de gebruiker luistert en wanneer.
Deze posting is gelocked. Reageren is niet meer mogelijk.