Xiaomi boryka się właśnie z poważnymi oskarżeniami o naruszanie prywatności użytkowników. Analiza wykonana przez dwóch specjalistów zatrudnionych przez Forbes pokazuje, że przeglądarki Mi Browser Pro oraz Mint Browser wysyłają na serwery historię przeglądania stron oraz dane, które mogą pozwolić na identyfikację poszczególnych użytkowników.

Dane diagnostyczne zbierane przez poszczególne aplikacje budzą wątpliwości związane z prywatnością użytkowników. Poszczególne firmy deklarują, że kolekcjonują tylko te informacje, które są niezbędne do poprawy jakości oprogramowania. Każda taka deklaracja zawiera informację, że dane przesyłane na serwery firmy są w pełni zanonimizowane i nie zawierają tzw. danych wrażliwych, czyli informacji pozwalających na identyfikację użytkownika. Dodatkowo zbierane w ten sposób dane powinny być szyfrowane oraz przechowywane na serwerach, do których nie mają dostęp firmy trzecie. Oczywiście wszelkiej maści rozwiązania diagnostyczne powinny działać za zgodą użytkownika, którego powinien mieć pełną świadomość tego, jakie informacje są zbierane.

Forbes: Xiaomi szpieguje użytkowników

Tematem mechanizmów diagnostycznych w przeglądarkach Xiaomi zajęli się Gabi Cirlig oraz Andrew Tierney. Obaj specjaliści na łamach dwutygodnika Forbes pokazują, że chiński producent smartfonów zbiera zbyt dużo danych dotyczących swoich użytkowników. Dodatkowo są one “zabezpieczone” kodem Base64, który można dość łatwo zdekodować. Najgorsze w tym wszystkim jest to, że w ocenie specjalistów Xiaomi korzysta ze zbyt agresywnych mechanizmów rejestrujących aktywności użytkownika. Na serwery trafiają nawet adresy stron odwiedzanych w trybie incognito.

Badania zostały przeprowadzone na smartfonie Redmi Note 8. Jednak sprawdzenie zawartości firmware dla Xiaomi MI 10, Xiaomi Redmi K20 oraz Xiaomi Mi MIX 3 pokazuje, że problem dotyczy dość szerokiej gamy urządzeń. Wszystko wskazuje na to, że zarzuty dotyczące szpiegowania nie dotyczą samego oprogramowania MIUI, a konkretnie przeglądarek Mi Browser Pro oraz Mint Browser, które można pobrać ze sklepu Google Play.

Przy czym problem nie dotyczy jedynie historii przeglądania stron. Smartfony Xiaomi wysyłają razem z nimi informacje dotyczące unikalnego identyfikatora danego urządzenia oraz wersję zainstalowanego Androida. Według specjalistów Forbesa tego typu metadane można skojarzyć z konkretną osobą.

Xiaomi: Forbes źle nas zrozumiał, dbamy o prywatność użytkowników

Xiaomi opublikowało na swoim blogu obszerny wpis adresujący zarzuty pojawiające się w artykule Forbesa. Dodatkowo do polskich redakcji trafiło poniższe oświadczenie firmy:

“Xiaomi jest zaniepokojone tym, co przeczytało w artykule opublikowanym przez Forbes. Firma uważa, że została źle zrozumiana w związku z tym, co przekazała odnośnie zasad związanych z polityką prywatności danych. Prywatność i bezpieczeństwo internetowe naszych użytkowników są najwyższym priorytetem w Xiaomi. Jesteśmy przekonani, że ściśle przestrzegamy i stosujemy się do lokalnych przepisów i regulacji. Jesteśmy w kontakcie z Forbes, by wyjaśnić tę niefortunną, błędną interpretację”.

Oczywiście same zapewnienia działu prasowego to stanowczo za mało. Dlatego też wspomniany wcześniej wpis zawiera szczegóły techniczne dotyczące zbieranych przez Xiaomi danych.

Agregacja danych i analiza statystyczna – Xiaomi podkreśla, że informacje dotyczące interfejsu użytkownika, wersji systemu operacyjnego, historia aktywności itp. są agregowane i nie mogą być użyte do identyfikacji poszczególnych osób. Jako przykład podano detekcję adresu wolno ładującej się strony.

Sposób aktywacji synchronizacji danych – Xiaomi sugeruje, że zachowania zarejestrowane przez dziennik Forbes dotyczą przeglądarek z aktywną funkcją synchronizacji danych pomiędzy urządzeniami. Dzięki temu użytkownik może w łatwy sposób otworzyć stronę odwiedzoną wcześniej na innym urządzeniu.

Anonimizacja – zbierane dane przypisane są do unikalnych losowych tokenów, które nie mogą być użyte do identyfikacji poszczególnych użytkowników.

Xiaomi token

Działanie w trybie prywatnym – według Xiaomi przeglądarka nie zapisuje historii stron przeglądanych w trybie incognito. Jednak ze śledztwa Forbesa wynika coś innego. Dlatego też w nowych wersjach aplikacji Mint Browser and Mi Browser pojawi się opcja wyłączająca zbieranie danych statystycznych w trybie prywatnym.

Xiaomi tryb prywatny

Serwery – Forbes sugeruje, że zbierane dane statystyczne przetwarzane są przez serwery firmy Sensors Analytics. Xiaomi pokazuje, że ich smartfony łączą się tylko z własnymi serwerami.

Xiaomi serwery

Szyfrowanie – Xiaomi przekonuje, że przesyłane dane są szyfrowane za pomocą protokołu TLS 1.2. Jednak najwidoczniej Chińczycy nie rozróżniają szyfrowania samych danych od szyfrowania połączenia.

Xiaomi TLS

Komu wierzyć?

Na to pytanie musicie już sobie odpowiedzieć sami. Dzisiaj praktycznie każda firma zbiera metadane dotyczące aktywności swoich klientów. Robi to zarówno Xiaomi, jak i Apple, Google, Microsoft i inni. Szkopuł tkwi w tym, żeby użytkownicy mieli świadomość na temat sposobu zbieranych informacji i metodom ich przetwarzania.

Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.