![<b>[UPDATE: Cei de la Xiaomi au venit cu o actualizare] - Cât de problematică este cu adevărat urmărirea făcută de Xiaomi în browserele lor</b>Cel mai probabil ai citit deja că un analist de securitate cibernetică (un roman de altfel) a găsit că browser-ul de internet a celor de la Xiaomi, cel care vine instalat automat pe dispozitivele care rulează MIUI, comunica cu servere din China şi transmi](http://images1.mobilissimo.ro/Z2k/5ead855753dce.jpg)
UPDATE 03.05.2020: Xiaomi tocmai a publicat o actualizare pe Google Play la Mint Browser că o reacţie a acestui scandal. De acum datele legate de utilizare nu vor mai fi transmise atunci când browser-ul este folosit în mod “incognito”. Totuşi, dacă utilizatorul doreşte, poate să reactiveze această funcţie (în mod default este dezactivat). Cât despre Mi Pro Browser, în timp ce scriam rândurile de mai sus, a primit și el actualizarea.
Articol Inițial din data de 02.05.2020
Cel mai probabil ai citit deja că un analist de securitate cibernetică (un roman de altfel) a găsit că browser-ul de internet a celor de la Xiaomi, cel care vine instalat automat pe dispozitivele care rulează MIUI, comunica cu servere din China şi transmit date legate de istoricul de navigare. Înainte de a continua vreau să menţionez că nu iau apărarea celor de la Xiaomi, ci doar doresc să fac o analiză puţin mai detaliată decât ceea ce a fost prezentat în articolul celor de la Forbes. Pentru această analiză mă bazez pe ce a apărut în presă, pe analizele ce au fost postate pe diferite reţele de socializare după marea ştire precum şi pe răspunsul celor de la Xiaomi.
Să o luăm cu începutul. Ieri a apărut un articol pe Forbes conform căruia un expert în securitate cibernetică, Gabi Cirlig, a analizat ce transmite către exterior browser-ul celor de la Xiaomi precum şi alte aplicaţii care vin preinstalate în MIUI. Xiaomi are în acest moment două browsere, Mint Browser şi Mi Pro Browser, ambele fiind impactate. Conform analizei realizate de către Gabi Cirlig, istoricul navigării tale precum şi alte informaţii legate de dispozitiv sunt transmise către servere aparţinând celor de la Alibaba şi închiriate de către Xiaomi. Vorbim despre site-ul vizitat, versiunea de Android, versiunea de MIUI, la ce tip de reţea eşti conectat, rezoluţia, etc. Mai mult, aceste date sunt transmise necriptat.
Partea cu transmisul necriptat este doar parţial adevărată. Datele strânse sunt puse într-o structură de tipul JSON, un format uşor de înţeles şi parsat de către calculator şi apoi este encodat în Base64 pentru a forma un şir de caractere uşor de transmis. Într-adevăr, acea encodare nu este criptare, datele fiind tot în clar, doar că nu mai pot fi citite de către om. Decodarea însă se poate face rapid, uşor şi fără a necesita un tool sofisticat. Totuşi, acel şir de caractere nu pleacă aşa din telefon. Conform celor de la Xiaomi datele sunt transmise în concordanţă cu protocolului TLS1.2, un standard folosit inclusiv de către bănci şi servicii de plată online pentru transferul de informaţii. Asta înseamnă că “pe fir”, datele nu pot fi citite chiar dacă presupunem că cineva interceptează mesajul.
Stocarea acelor date se face pe servere aparţinând celor de la Alibaba. În prima fază ar putea părea un lucru maliţios, dar să nu uităm că Alibaba este un mogul al internetului în China, aşa cum Amazon este în SUA. Xiaomi este o firmă Chineză şi a fost natural ca să închirize servere de la o altă firmă din China. Aşa cum o bună parte din serviciile online occidentale sunt găzduite pe Amazon AWS, în China Alibaba joacă acelaşi rol. Dacă ar fi să oprim traficul către AWS servicii precum Netflix, Airbnb, Spotify şi multe altele nu ar mai funcţiona. Acelaşi rol îl are şi Alibaba pentru Xiaomi: „provider de servere”.
Ce doare cel mai rău însă este partea de colectare de date. Browser-ul transmite site-ul accesat şi alte informaţii chiar şi atunci când eşti în „Incognito mode”. Da, Xiaomi ar trebui să fi mult mai transparent legat de datele pe care le colectează, ce fac cu acele date şi mai mult, să ofere posibilitatea ca utilizator să nu mai transmiţi acele date. Totuşi, Xiaomi nu este singura companie care face asta. Orice acţiune în aplicaţia de Facebook este monitorizată, Gmail face la fel precum şi multe alte aplicaţii transmit, mai mult sau mai puţin, informaţii legate de cum foloseşti aplicaţia şi ce faci în ea. Dacă ai citit un „Terms of Service” cu siguranţă ai văzut o propoziţie ascunsă pe undeva care sună cam aşa: „Aplicaţia colectează date legate de modul de utilizare pentru a îmbunătăţii serviciul precum şi pentru marketing targetat”. Xiaomi face acelaşi lucru, doar că a ales o metodă mai uşor de depistat şi de descifrat ce colectează. Mă repet, nu îi iau apărarea, doar vreau să fie lumea conştientă că nu este singura companie care are asemenea practici. Unele aplicaţii îţi oferă la prima pornire un pop-up unde te întreabă dacă vrei să partici în această colectare de date, dar marea majoritate o au activată „by default”.
Xiaomi pretinde că datele sunt anonimizate şi nu se poate face o legătură între datele colectate şi un anumit individ. O primă analiză arată că într-adevăr fiecărui request îi este atribuit un ID unic (UUID) care este generat aleator. Acele date nu conţin un nume de utilizator sau un identificator care să fie legat de persoană sau dispozitivul efectiv. Totuşi, lucrurile sunt puţin mai complicate. Deşi nu pot să spună exact ca tu, Gigel, ai căutat poze deocheate aseară, pot crea o imagine mai detaliată a obiceiurilor de navigare, dacă îşi doresc acest lucru. Alte meta-date precum IP-ul sau locaţia pot fi folosite pentru a cataloga toate requesturile sub aceeaşi entitate şi astfel realiza o analiză mult mai detaliată al unui utilizator. Asta îmi aminteşte de un program a celor de la Target unde analizau cumpărăturile oamenilor pentru a le oferi cupoane de reduceri targetat. Şi, în urma unei astfel de analize, au dedus că o adolescentă este însărcinată şi au trimis promoţii la articole pentru nou-născuţi, ceea ce a dus la un adevărat scandal din partea tatălui fetei care încă nu aflase marea veste.
Cam aici vreau să închei totul. Ceea ce face Xiaomi nu este corect, dar din păcate nu sunt singurii. Fiecare ar trebui să aibe dreptul să hotărască ce informaţii personale sunt transmise la terţe părţi, dar acest lucru nu se întâmplă nicăieri. Ce se întâmplă acum cu Xiaomi este doar un alt scandal legat de confidenţialitatea datelor, la fel ca restul de până acum, şi nu face decât să ne arate încă o dată că anonimitatea şi intimitatea online este doar un mit, mai ales când vine vorba de servicii gratuite, deoarece astfel fac aceste companii profit.
