Xiaomi erkent dat browsers in incognito-mode data verzamelen
Smartphonefabrikant Xiaomi erkent dat de eigen browsers in incognito-mode toch data verzamelen, ook al werd dit eerst ontkend. Het bedrijf heeft een update ontwikkeld waarmee gebruikers van de Mi Browser, Mi Browser Pro en Mint Browser het verzamelen van data in de incognito-mode kunnen in- en uitschakelen.
Zakenblad Forbes kwam afgelopen donderdag met het nieuws dat Xiaomi via de eigen browsers het surfgedrag van gebruikers verzamelt. Daarnaast bleek dat de gegevens slecht beveiligd worden verstuurd. In plaats van encryptie wordt namelijk het eenvoudig te decoderen base64 encoding toegepast. Xiaomi erkende het verzamelen van gegevens tijdens het normale browsen, maar ontkende dat dit ook bij de incognito-mode plaatsvond.
Verschillende onderzoekers demonstreerden dat dit wel degelijk het geval is. Daarnaast bleek dat Xiaomi ook het uid (universally unique identifier) verzamelt waarmee gebruikers zijn te identificeren. Xiaomi liet in een verklaring weten dat het standaard geaggregeerde gebruiksdata verzamelt. Het gaat dan om systeemgegevens, voorkeuren, hoe de gebruikersinterface wordt gebruikt, responsiviteit, prestaties, geheugengebruik en crashmeldingen. Wanneer een website bijvoorbeeld langzaam laadt wordt de url naar Xiaomi verstuurd. Dit gebeurt ook in de incognito-mode.
Onderzoekers toonden vervolgens aan dat de data niet geaggregeerd is. "Elk individueel verzoek wordt naar Xiaomi gestuurd. Het wordt niet geanonimiseerd en het is gekoppeld aan een uniek identificeerbaar stukje data", stelde onderzoeker Andrew Tierney. Onderzoeker Gabriel Cirlig ontdekte gisteren dat Xiaomi in de incognito-mode niet alleen het uuid verstuurt, maar ook het MI-account van de gebruiker opslaat en deze blijft doorsturen zelfs wanneer de gebruiker is uitgelogd.
In een nieuwe blogposting laat Xiaomi weten dat gebruikers in de nieuwste versies van Mi Browser en Mi Browser Pro (v12.1.4) en Mint Browser (v3.4.3) het "geaggregeerd verzamelen van data" kunnen in- en uitschakelen. Tierney en Cirlig hebben nog niet laten weten of hiermee alle gevonden problemen zijn verholpen.
Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.
Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.
Is dat dan Cheap American Plastic Crap???
Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.
Is dat dan Cheap American Plastic Crap???
Nee, dat is Expensive American Plastic Crap...
Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.
Is dat dan Cheap American Plastic Crap???
Patriot Act heeft hier niets mee te maken. De PA is wetgeving waar alle bedrijven die onder Amerikaanse jurisdictie vallen zich aan dienen te houden. Die zgn gag-orders is vergelijkbaar, i.e. wetgeving. Je kan het oneens zijn met die wetgeving, maar dat is een andere kwestie. Deze kwestie betreft het uit eigen initiatief handelen van een Chinees bedrijf dat bovendien aanzienlijk meer informatie opslaat dan andere browsers doen (i.e unieke nummers toekennen, volledige url's).
Verder betreft het hier een artikel over het handelen van het Chinese Xiaomi. Ik heb niets gezegd over Amerikaanse bedrijven. Je formulering wekt de suggestie dat je van mening bent dat ofwel de genoemde feiten onjuist zijn, ofwel dat die feiten onbelangrijk zijn. Dat in een ander land bepaalde wetgeving van kracht is doet aan de feiten echter niets af, of met andere woorden, als ik zeg dat cola ongezond is omdat er veel suiker in zit is zeggen "Heb je wel eens van stroop gehoord??" geen argument tegen het ongezond zijn van cola. Nog een voorbeeld; als ik zeg dat ik bananen lekker vind, is "oh, dus je vind kiwi's vies?" geen argument.
Voor zover ik weet komen er alleen Apple toestellen uit de VS (ook gemaakt in China, maar goed, het is een Amerikaans bedrijf) dus als Apple zoiets zou doen zonder geinformeerde toestemming van de gebruiker, dan zou het Expensive American Aluminium Crap zijn ja.
Wat en hoe en waarom interesseert me niet zo veel.
Wat zijn de facturatiegegevens van Xiaomi? Iemand?
Hoe dúrven ze en hoe hálen ze zich dit in het hoofd! Als consument ben je nu en wederom gewaarschuwd voor #China en #Chinese producten!
Wat en hoe en waarom interesseert me niet zo veel.
Wat zijn de facturatiegegevens van Xiaomi? Iemand?
https://privacy.mi.com/all/nl_NL/ contactgegevens onderaan
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
