Biznis

#ITsigurnost

Forbes: Xiaomi prikuplja podatke o upotrebi od svojih preglednika u anonimnom načinu

Forbes: Xiaomi prikuplja podatke o upotrebi od svojih preglednika u anonimnom načinu

Xiaomi mobilni preglednici prosljeđuju URL-ove i druge podatke Xiaomi poslužiteljima ako korisnik pokreće preglednik u anonimnom načinu.

To tvrdi Forbes na temelju rumunjskog sigurnosnog istraživača tvrtke WhiteOps Gaby Cirlig.  Xiaomi sve negira.

Što se dogodilo?

Prema Forbesu i sigurnosnim stručnjacima,   Xiaomi preglednik i preglednici tvrtke koji se nalaze u Play Storeu, Mi Browser Pro i Mint Browser šalju veliku količinu podataka na Alibaba poslužitelje,  koje  Xiaomi iznajmljuje.  Ti se serveri fizički nalaze u Singapuru i Rusiji, ali su registrirani u Pekingu.  Slanje paketa podatak  se odnosi na sve posjećene web stranice uključujući upite tražilice, bilo da  se radi o Google ili DuckDuckGo, i svaku stavku prikazanu u Xiaomi newsfeedu.

I sve je to  funkcionira  čak i kad se koristio anonimni način rada.  Osim toga, navodno  Xiaomi   prikuplja   jedinstvene brojeve za identifikaciju određenog uređaja i verzije Androida,  podatke o  otvorenim mapama, koji su se zasloni prebacivali, čak i ako govorimo o statusnoj traci i postavkama uređaja.     

Xiaomi:  izvještaji istraživanja su neistiniti

U odgovoru, Xiaomi priznaje da prikuplja podatke o pregledavanju, ali   samo anonimno i šifrirano,  a korisnici  trebaju dati dozvolu za praćenje. Ukazuju da su  izvješća o istraživanjima neistinita  usprkos Forbesu koji je tvrtki pokazao videozapis o tome kako su proslijedili potragu za 'pornićem' i posjetili PornHubu.

Gdje je dima, ima i vatre

Tvrdnje je  provjerio i drugi istražitelj, Andrew Tierney. Došao je do istih zaključaka oko privatnosti. Obojica stručnjaka  ukazuju da  poteškoće nastaju s načinom na koji Xiaomi prenosi podatke na svoje poslužitelje.  Osim toga je otkriveno da  Xiaomi aplikacija za sviranje glazbe  prikuplja informacije o avikama slušanja: koje su pjesme svirane i kada.  Ukratko,  kad slušate glazbu, Xiaomi također sluša.

Iako kineska tvrtka tvrdi da su podaci šifrirani, Gaby Kirlig je otkrio da brzo može vidjeti što je preuzeto s njegovog uređaja, jer se jednostavan "algoritam base64" koristi za  šifriranje.  Bilo je potrebno samo nekoliko sekundi da pretvori pakete podataka u čitljive podatke. 

Tko obrađuje te podatke? Treća strana

Navodno sve primljene podatke obrađuje kineska tvrtka Sensors Analytics. O tome svjedoče SensorDataAPI, kao i veza koja vodi do web stranice tvrtke. Prema PitchBooku, ovo pokretanje pruža "platformu za dubinsku analizu ponašanja korisnika i profesionalne konzultantske usluge" No, Sensors Analytics, prema Xiaomi predstavniku, pruža samo platformu za analizu, a svi primljeni podaci pohranjuju se na poslužitelje tvrtke.

Očito, propusta ima i  ako su istinite tvrdnje sigurnosnih stručnjaka, nije iznenađuje.  Xiaomi mora  napraviti profit obzirom na niske cijene uređaja, a trgovanje podacima već je godinama unosnije od hardvera. 

Anonimno i privatno ne tumače svi isto

Svaka kompanija, ne samo Xiaomi,   definiciju  "privatnog pregledavanja" i "anonimnog načina"  i  općenito "privatnosti"   različito tumači.  Ne treba živjeti u iluziji.

Prema definiciji,  privatno pregledavanje je značajka  privatnosti u nekim web preglednicima. Kada radi u takvom načinu, web preglednik stvara privremenu sesiju koja je izolirana od glavne sesije i korisničkih podataka preglednika.

Povijest pregledavanja ne sprema se, a lokalni podaci povezani sa sesijom, poput kolačića, brišu se kada je sesija zatvorena. Ovi su načini prvenstveno dizajnirani kako bi se spriječilo da podaci i povijest povezane s određenom sesijom pregledavanja ostanu prisutni na uređaju ili ih otkrije drugi korisnik istog uređaja.

Ukratko, privatno pregledavanje je "značajka privatnosti" namijenjena zaštiti privatnosti na strani klijenta (uređaja) gdje je to moguće.  Uklanjanje kolačića i povijest pregledavanja su sredstvo za postizanje toga. 

Posredni medij (Internet, ISP) i web poslužitelj doista nisu uključeni. Ali ako ta ista strana klijenta namjerno propušta podatke putem Interneta, tada ta strana klijenta (aka Xiaomi preglednik) ne poštuje privatnost, u stvari namjerno šteti privatnosti.

Znamo da  dio   vas nije zabrinut  što  netko prikuplja vaše podatke,  jer nemate što skrivati,  ali oni  koji žele   anonimnost prema trećim stranama jer se bilo koji anonimni podatak može se lako deanonimizirati ako znate što tražiti moraju  koristiti TOR / VPN kombinacije.  


Reci što misliš!