Nieuws

Xiaomi erkent dat browsers in incognito-mode data verzamelen

maandag 4 mei 2020, 09:56 door Redactie, 8 reacties

Laatst bijgewerkt: 07-05-2020, 09:05

Smartphonefabrikant Xiaomi erkent dat de eigen browsers in incognito-mode toch data verzamelen, ook al werd dit eerst ontkend. Het bedrijf heeft een update ontwikkeld waarmee gebruikers van de Mi Browser, Mi Browser Pro en Mint Browser het verzamelen van data in de incognito-mode kunnen in- en uitschakelen.

Zakenblad Forbes kwam afgelopen donderdag met het nieuws dat Xiaomi via de eigen browsers het surfgedrag van gebruikers verzamelt. Daarnaast bleek dat de gegevens slecht beveiligd worden verstuurd. In plaats van encryptie wordt namelijk het eenvoudig te decoderen base64 encoding toegepast. Xiaomi erkende het verzamelen van gegevens tijdens het normale browsen, maar ontkende dat dit ook bij de incognito-mode plaatsvond.

Verschillende onderzoekers demonstreerden dat dit wel degelijk het geval is. Daarnaast bleek dat Xiaomi ook het uid (universally unique identifier) verzamelt waarmee gebruikers zijn te identificeren. Xiaomi liet in een verklaring weten dat het standaard geaggregeerde gebruiksdata verzamelt. Het gaat dan om systeemgegevens, voorkeuren, hoe de gebruikersinterface wordt gebruikt, responsiviteit, prestaties, geheugengebruik en crashmeldingen. Wanneer een website bijvoorbeeld langzaam laadt wordt de url naar Xiaomi verstuurd. Dit gebeurt ook in de incognito-mode.

Onderzoekers toonden vervolgens aan dat de data niet geaggregeerd is. "Elk individueel verzoek wordt naar Xiaomi gestuurd. Het wordt niet geanonimiseerd en het is gekoppeld aan een uniek identificeerbaar stukje data", stelde onderzoeker Andrew Tierney. Onderzoeker Gabriel Cirlig ontdekte gisteren dat Xiaomi in de incognito-mode niet alleen het uuid verstuurt, maar ook het MI-account van de gebruiker opslaat en deze blijft doorsturen zelfs wanneer de gebruiker is uitgelogd.

In een nieuwe blogposting laat Xiaomi weten dat gebruikers in de nieuwste versies van Mi Browser en Mi Browser Pro (v12.1.4) en Mint Browser (v3.4.3) het "geaggregeerd verzamelen van data" kunnen in- en uitschakelen. Tierney en Cirlig hebben nog niet laten weten of hiermee alle gevonden problemen zijn verholpen.

Schneier: contactonderzoek kan niet met een smartphone-app

Brabants logistiek bedrijf betaalt losgeld na infectie door Lockbit-ransomware

Reacties (8)

04-05-2020, 10:25 door Reinder

Tja. Cheap Chinese Plastic Crap.

Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.

04-05-2020, 11:34 door Anoniem

Door Reinder: Tja. Cheap Chinese Plastic Crap.

Maar niets aan de hand, want gebruikers, ook die onderzoekers die er zo enorm ongerust over zijn, hebben vast allemaal zonder uitzondering expliciete toestemming gegeven, ergens op pagina 147 van een 200-pagina's tellende gebruikersovereenkomst.

Nooit van de Patriot Act gehoord, of "gag orders", etc. in Amerika?
Is dat dan Cheap American Plastic Crap???

04-05-2020, 13:42 door Anoniem

Door Anoniem:

Nooit van de Patriot Act gehoord, of "gag orders", etc. in Amerika?
Is dat dan Cheap American Plastic Crap???

Nee, dat is Expensive American Plastic Crap...

04-05-2020, 14:08 door Reinder

Door Anoniem:

Nooit van de Patriot Act gehoord, of "gag orders", etc. in Amerika?
Is dat dan Cheap American Plastic Crap???

Patriot Act heeft hier niets mee te maken. De PA is wetgeving waar alle bedrijven die onder Amerikaanse jurisdictie vallen zich aan dienen te houden. Die zgn gag-orders is vergelijkbaar, i.e. wetgeving. Je kan het oneens zijn met die wetgeving, maar dat is een andere kwestie. Deze kwestie betreft het uit eigen initiatief handelen van een Chinees bedrijf dat bovendien aanzienlijk meer informatie opslaat dan andere browsers doen (i.e unieke nummers toekennen, volledige url's).

Verder betreft het hier een artikel over het handelen van het Chinese Xiaomi. Ik heb niets gezegd over Amerikaanse bedrijven. Je formulering wekt de suggestie dat je van mening bent dat ofwel de genoemde feiten onjuist zijn, ofwel dat die feiten onbelangrijk zijn. Dat in een ander land bepaalde wetgeving van kracht is doet aan de feiten echter niets af, of met andere woorden, als ik zeg dat cola ongezond is omdat er veel suiker in zit is zeggen "Heb je wel eens van stroop gehoord??" geen argument tegen het ongezond zijn van cola. Nog een voorbeeld; als ik zeg dat ik bananen lekker vind, is "oh, dus je vind kiwi's vies?" geen argument.

Voor zover ik weet komen er alleen Apple toestellen uit de VS (ook gemaakt in China, maar goed, het is een Amerikaans bedrijf) dus als Apple zoiets zou doen zonder geinformeerde toestemming van de gebruiker, dan zou het Expensive American Aluminium Crap zijn ja.

05-05-2020, 01:06 door Anoniem

Ik reken een geeltje per keer dat ik data terugstuur. Want ik ben eigenaar van die telefoon, ik laai de accu op op mijn kosten, en ik betaal het dataverkeer.

Wat en hoe en waarom interesseert me niet zo veel.

Wat zijn de facturatiegegevens van Xiaomi? Iemand?

05-05-2020, 08:29 door The FOSS

Xiaomi erkent dat browsers in incognito-mode data verzamelen

Hoe dúrven ze en hoe hálen ze zich dit in het hoofd! Als consument ben je nu en wederom gewaarschuwd voor #China en #Chinese producten!

05-05-2020, 09:26 door The FOSS

Door Anoniem: Ik reken een geeltje per keer dat ik data terugstuur. Want ik ben eigenaar van die telefoon, ik laai de accu op op mijn kosten, en ik betaal het dataverkeer.

Wat en hoe en waarom interesseert me niet zo veel.

Wat zijn de facturatiegegevens van Xiaomi? Iemand?

https://privacy.mi.com/all/nl_NL/ contactgegevens onderaan

05-05-2020, 09:46 door Anoniem

Vanaf de eerste dag dat Google begon met Android doen ze precies hetzelfde. Alles houden ze van je bij en niemand klaagt en nu Chinees en de wereld is te klein? Gooi je smartphone eruit als je geen data wil delen. Playstore en Google is data handel voor elke app.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Xiaomi erkent dat browsers in incognito-mode data verzamelen

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren