De browsers van smartphonefabrikant Xiaomi verzamelen niet alleen het surfgedrag van gebruikers, ook het uuid (universally unique identifier) waarmee gebruikers zijn te identificeren wordt naar het bedrijf gestuurd, zowel in de normale als incognito-mode, zo laat beveiligingsonderzoeker Andrew Tierney in een nieuwe video zien. Xiaomi stelt dat het toestemming van gebruikers heeft om hun gegevens te verzamelen.
Zakenblad Forbes kwam donderdag met het nieuws dat Xiaomi via de eigen browsers het surfgedrag van gebruikers verzamelt. Daarnaast bleek dat de gegevens slecht beveiligd worden verstuurd. In plaats van encryptie wordt namelijk het eenvoudig te decoderen base64 encoding toegepast. Xiaomi erkende het verzamelen van gegevens tijdens het normale browsen, maar ontkende dat dit ook bij de incognito-mode plaatsvond.
In een gisteren gepubliceerde blogposting stelt Xiaomi dat het artikel van Forbes verschillende onjuistheden bevat. Ten eerste zouden gebruikers voor het verzamelen van de data toestemming geven. Gegevens worden daarnaast geanonimiseerd en versleuteld verstuurd. Verder werken internetbedrijven wereldwijd op deze manier, aldus Xiaomi.
Wat betreft het verzamelen van gegevens wordt volgens Xiaomi standaard geaggregeerde gebruiksdata verzameld. Het gaat dan om systeemgegevens, voorkeuren, hoe de gebruikersinterface wordt gebruikt, responsiviteit, prestaties, geheugengebruik en crashmeldingen. Wanneer een website bijvoorbeeld langzaam laadt wordt de url naar Xiaomi verstuurd. Ook in de incognito-mode worden deze gegevens verzameld. Daarmee bevestigt het bedrijf indirect dat ook in incognito-mode url's kunnen worden verzameld.
Onderzoekers Andrew Tierney en Gabriel Cirlig die het privacyprobleem ontdekten en bewezen hekelen de reactie van de smartphonefabrikant. Tierney merkt op dat zowel hijzelf als andere onderzoekers opnieuw hebben vastgesteld dat de Mint Browser van Xiaomi wel degelijk in de incognito-mode standaard zowel url's als zoekopdrachten naar het bedrijf stuurt. Daarnaast stuurt de browser ook het uuid naar Xiaomi, zo blijkt uit een nieuwe video.
Daardoor is het verzamelde surfgedrag aan de gebruiker te koppelen. Verder blijkt de smartphonefabrikant nog altijd geen encryptie toe te passen. "Deze data is niet geaggregeerd. Elk individueel verzoek wordt naar Xiaomi gestuurd. Het wordt niet geanonimiseerd en het is gekoppeld aan een uniek identificeerbaar stukje data", stelt Tierney. "Dit is een serieus privacyprobleem en ze [Xiaomi - red] lijken te ontkennen dat dit een probleem is."
Video - Xiaomi Mint Browser gathers Incognito browsing history on remote servers. Bron: YouTube
Deze posting is gelocked. Reageren is niet meer mogelijk.