TeamQuest Blog

Przeglądarki Xiaomi Cię szpiegują

Przeglądarki Xiaomi Cię szpiegują

Marcin Sarna , 03.03.2021 r.

Wiedzą nawet na jakiej stronie przypomniałeś sobie o przełączeniu na tryb incognito.

Mi Browser Pro i Mint Browser przesyłają informacje o Twojej aktywności na zewnętrzne serwery

Mi Browser Pro i Mint Browser są preinstalowane na telefonach Xiaomi. Forbes zarzucił niedawno Xiaomi eksfiltrację historii wszystkich odwiedzanych stron internetowych. Xiaomi z kolei zarzuca Forbesowi przeinaczanie faktów. Twierdzą, że gromadzenie danych odbywa się zgodnie z najlepszymi praktykami, a same dane są agregowane i anonimizowane, bez żadnego związku z tożsamością użytkownika.

Taka argumentacja może Ci się wydawać znajoma. Jest prawie identyczna chociażby z komunikacją firmy Avast po tym, jak wykryto, że szpiegują użytkowników, a dostawcy przeglądarek pobrali ich rozszerzenia ze sklepów z dodatkami. Takie próby anonimizacji przetwarzanych danych zazwyczaj są po prostu nieudolne, pytanie czy czasem nie jest to działanie celowe.

Dekompilacja prawdę Ci powie

Dzięki zaangażowaniu pasjonatów, którzy zdekompilowali Mint Browser 3.4.0, wiemy już jak poważna jest sytuacja. Artykuł Forbsa wyjaśniał, że dane są przesyłane do backendu Sensors Analytics. sa.api.intl.miui.com to nazwa hosta tego backendowego zaplecza i jest to serwer należący do Xiaomi – tak, to żadne tajne dane, Xiaomi samo to przyznało.

Nazwa tego serwera pojawia się w klasie miui.globalbrowser.common_business.g.i. Znaleziono tam m.in. odwołanie do funkcji public void c(), która dodaje szereg różnych właściwości do każdego żądania wysyłanego na serwer. Tam mamy między innymi rzekomo „anonimowy” identyfikator wysłany jako parametr uuid a ponadto wersja MIUI, region, dane językowe, platforma.

Zdaniem Xiaomi identyfikator jest generowany losowo, bez żadnego związku z użytkownikiem i przede wszystkim odnawia się co 90 dni. Ale takie 90 dni to dość długi przedział czasu, nawet dla losowo wygenerowanego identyfikatora. Mając wystarczającą liczbę punktów danych, powinno być łatwo wydedukować z nich tożsamość użytkownika. To nie wszystko.

Tak naprawdę identyfikator jest stały. Zmiana uuid działa tak, że jeżeli znacznik czasu różni się od aktualnego czasu o więcej niż 7776000000 milisekund (90 dni), zostanie wygenerowany nowy identyfikator. Jednak implementacja jest błędna a jedyny scenariusz, w którym zostanie wygenerowany nowy identyfikator to sytuacja gdy metoda nie była wywoływana przez 90 dni, co oznacza, że przeglądarka nie była uruchamiana przez 90 dni. Jest to raczej mało prawdopodobne, więc zmiany uuid są tylko iluzoryczne.

Sprawdź oferty pracy na TeamQuest

Ale to też jeszcze nie wszystko. Najlepsze jest to, że Xiaomi wykorzystuje taki „anonimowy” numer tylko wtedy gdy nie jest dostępny identyfikator konta Xiaomi. Jeśli więc użytkownik jest zalogowany w przeglądarce, dane śledzenia od razu zostaną połączone z jego kontem Xiaomi. A ten jest powiązany przynajmniej z adresem e-mail użytkownika, prawdopodobnie także z innymi parametrami identyfikującymi.

Co jest wysyłane?

Kod wysyła wszystkie odwiedzane przez Ciebie witryny do serwera analitycznego. Raz, gdy strona zaczyna się ładować, a innym razem, kiedy się kończy. Post na blogu Xiaomi oczywiście wyjaśnia, dlaczego istnieje taki kod: Adres URL jest zbierany w celu zidentyfikowania stron internetowych, które ładują się wolno; to daje nam wgląd w to, jak najlepiej poprawić ogólną wydajność przeglądania.

Czy przekonuje Cię to wyjaśnienie? Przecież jeśli chodzi o powolne witryny, dlaczego nie obliczyć lokalnie czasu ładowania strony i przesyłać tylko dane dotyczące tych wolnych stron? To nadal nie byłoby świetne dla naszej prywatności, ale o rząd wielkości lepsze niż to, co faktycznie wdrożyła Xiaomi. Czy wysłanie wszystkich odwiedzonych adresów jest dobrym kompromisem pomiędzy bezpieczeństwem (wydajnością) a prywatnością?

Co więcej bardziej szczegółowe badania odkrywają jeszcze smutniejszą prawdę. Na przykład klasa miui.globalbrowser.news.YMTSearchActivity rejestruje to czego szukasz na YouTube.

Jeśli używasz przeglądarki Mint Browser (i zapewne też Mi Browser Pro) załóż więc, że Xiaomi nie tylko wie, które witryny odwiedzasz, ale także wie, czego szukasz, jakie filmy oglądasz, co pobierasz i jakie witryny dodałeś do strony szybkiego wybierania. I co nam z,  omawianego już przez TeamQuest, wzmocnienia ochrony prywatności w Android 11?

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej