image

Onderzoeker: Xiaomi verzamelt naast surfgedrag ook uuid van gebruikers

zondag 3 mei 2020, 10:55 door Redactie, 11 reacties

De browsers van smartphonefabrikant Xiaomi verzamelen niet alleen het surfgedrag van gebruikers, ook het uuid (universally unique identifier) waarmee gebruikers zijn te identificeren wordt naar het bedrijf gestuurd, zowel in de normale als incognito-mode, zo laat beveiligingsonderzoeker Andrew Tierney in een nieuwe video zien. Xiaomi stelt dat het toestemming van gebruikers heeft om hun gegevens te verzamelen.

Zakenblad Forbes kwam donderdag met het nieuws dat Xiaomi via de eigen browsers het surfgedrag van gebruikers verzamelt. Daarnaast bleek dat de gegevens slecht beveiligd worden verstuurd. In plaats van encryptie wordt namelijk het eenvoudig te decoderen base64 encoding toegepast. Xiaomi erkende het verzamelen van gegevens tijdens het normale browsen, maar ontkende dat dit ook bij de incognito-mode plaatsvond.

In een gisteren gepubliceerde blogposting stelt Xiaomi dat het artikel van Forbes verschillende onjuistheden bevat. Ten eerste zouden gebruikers voor het verzamelen van de data toestemming geven. Gegevens worden daarnaast geanonimiseerd en versleuteld verstuurd. Verder werken internetbedrijven wereldwijd op deze manier, aldus Xiaomi.

Wat betreft het verzamelen van gegevens wordt volgens Xiaomi standaard geaggregeerde gebruiksdata verzameld. Het gaat dan om systeemgegevens, voorkeuren, hoe de gebruikersinterface wordt gebruikt, responsiviteit, prestaties, geheugengebruik en crashmeldingen. Wanneer een website bijvoorbeeld langzaam laadt wordt de url naar Xiaomi verstuurd. Ook in de incognito-mode worden deze gegevens verzameld. Daarmee bevestigt het bedrijf indirect dat ook in incognito-mode url's kunnen worden verzameld.

Onderzoekers Andrew Tierney en Gabriel Cirlig die het privacyprobleem ontdekten en bewezen hekelen de reactie van de smartphonefabrikant. Tierney merkt op dat zowel hijzelf als andere onderzoekers opnieuw hebben vastgesteld dat de Mint Browser van Xiaomi wel degelijk in de incognito-mode standaard zowel url's als zoekopdrachten naar het bedrijf stuurt. Daarnaast stuurt de browser ook het uuid naar Xiaomi, zo blijkt uit een nieuwe video.

Daardoor is het verzamelde surfgedrag aan de gebruiker te koppelen. Verder blijkt de smartphonefabrikant nog altijd geen encryptie toe te passen. "Deze data is niet geaggregeerd. Elk individueel verzoek wordt naar Xiaomi gestuurd. Het wordt niet geanonimiseerd en het is gekoppeld aan een uniek identificeerbaar stukje data", stelt Tierney. "Dit is een serieus privacyprobleem en ze [Xiaomi - red] lijken te ontkennen dat dit een probleem is."

Image

Video - Xiaomi Mint Browser gathers Incognito browsing history on remote servers. Bron: YouTube

Reacties (11)
03-05-2020, 11:12 door Anoniem
Jammer. Hoop dat ze a la Zoom hun security nu op orde gaan brengen
03-05-2020, 14:24 door Anoniem
Het lijkt willens en wetens te zijn ingebouwd.
Of gewoon domweg, omdat het de Chinese standaard is.
03-05-2020, 15:48 door Anoniem
En wie doen het allemaal nog meer aan deze kant van het Rijk van het Midden?
Daarover blijft het weer akelig stil.Niet dat ik ze vergoeilijken wil, geenszins. Maar toch eerlijk blijven.

De ene partij doet het openlijk en alle gebruikers weten dat het gebeurt. Wel zo duidelijk.
De andere partij doet het in het geniep en ontkennen dat ze het doen, maar doen het op nog grotere schaal.

Of je door de hond of de kat gebeten wil worden. In Globalania AI Surveillance State worden we allemaal gebeten.

#sockpuppet
03-05-2020, 18:27 door Anoniem
Het was al vanaf het begin duidelijk dat het verdienmodel van Xiaomi niet gebaseerd was op wat ze aan hardware verdienen. Uit interviews bleek ook wel dat ze vol inzetten op hun 'ecosysteem'. Daarmee is het naïef om te denken dat ze dit soort dingen niet zouden doen.
03-05-2020, 18:45 door Anoniem
Flink data aan het verzamelen dus. En dan ook nog ontkennen? Om daarbij nog eens flink door de mand te valllen wegens het gebruik van gedateerde encryptie. Zijn ze daar bij Xiaomi een startup gefinancieerd door de Chinese overheid? (Zoals Google, Apple, Microsoft, ea waarbij de overheid burgerspionage kan outsourcen.) En mocht het niks kosten?
Want ze zijn wel erg gericht op de doelgroep die alleen maar de prijs en het glimmende scherm ziet.
De Chinezen moeten zich erg bewust zijn van het Ik-Heb-Niets-Te-Verbergen koopvee alhier.
03-05-2020, 20:13 door Anoniem
Tja sommige Chinese spionage apperatuur.
04-05-2020, 06:02 door Anoniem
Mijn nieuwe telefoon wordt dus geen " Xiaomi ". Gelukkig is er nog veel andere keuzes.
04-05-2020, 06:29 door The FOSS
Ik heb het ondertussen totaal gehad met #China en #Chinese producten. Ze staan op mijn zwarte lijst; blacklist; boycotlijst.
04-05-2020, 07:54 door Bitje-scheef
Dat doen ze, zodat ze je kunnen bellen als je een virusbesmetting op je telefoon hebt. Helpdesk zit in India... [kuch kuch]
04-05-2020, 09:40 door Anoniem
Doen ze nou precies hetzelfde als Google? Die houdt ook al deze dingen bij en sturen ze naar Amerika? Wat is het verschil? Alle apps in Android hebben deze verdienmodel wat is het probleem? Nou dat er eens een Europese Android komt op privacy gebaseerd is zeker nodig. Met playstore is de smartphone spyware.
05-05-2020, 09:31 door The FOSS - Bijgewerkt: 05-05-2020, 09:33
Door Anoniem: Doen ze nou precies hetzelfde als Google? Die houdt ook al deze dingen bij en sturen [sic] ze naar Amerika?

Nee, lees het artikel!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.