Experter: Xiaomi samlar in privata surfdata på mobilen

2020-05-04 14:20  

Kinesiska Xiaomi samlar olovligen in data om sina användare – även när dessa tror sig surfa privat. Det avslöjar Forbes efter en granskning av teknikjätten.

Mobiltelefoner från Xiaomi samlar i hemlighet in data om vilka webbsidor som användarna besöker, och skickar vidare informationen till servrar i Kina. Det visar en granskning från den amerikanska affärstidningen Forbes.

Data skickas till Kina – via Ryssland

En av tidningens källor är den välrenommerade säkerhetsexperten Gabi Cirlig.

Cirlig hade upptäckt att hans Redmi Note 8-mobil samlade in information på ett sätt som den inte borde. Insamlingen skedde via telefonens inbyggda Xiaomi-webbläsare, och omfattade historik över såväl besökta hemsidor som sökningar som gjorts via både Google och DuckDuckGo.

Spårningen ser ut att ha fortsätt även när Cirlig var säker att han surfade privat via webbläsarens inkognitoläge.

Läs mer: Xiaomi lanserar prestandatunga modeller till budgetpriser

Användardata som samlades in skickades sedan vidare till servrar i Singapore och Ryssland, enligt Gabi Cirlig. Webbdomänerna som servrarna hostade är dock registrerade i Peking, säger säkerhetsexperten.

– Det här är en bakdörr med telefon-funktionalitet, säger Gabi Cirlig om mobiltelefonen till Forbes, halvt på skämt, halvt på allvar, om upptäckten.

Expert: Lätt att knäcka kodning

Forbes lät även säkerhetsexperten Andew Tierney granska flera andra Xiaomi-webbläsare som går att ladda ner i appbutiken Google Play. Det visade sig snart att även Mi Browser Pro och Mint Browser spårar användarna på sätt som programmen inte borde, enligt Tierney.

Det är känt sedan tidigare att Xiaomi samlar in vissa data via sina webbläsare. Tillverkaren hävdar dock att data skickas i krypterad form till Xiaomis servrar.

Men Andew Tierneys genomgång visade dock att användardata enbart kodas om i Base 64-strängar när den sänds till servrarna. Base 64 är ett system för att koda binära sifferserier som är förhållandevis enkelt att knäcka. För Tierney tog det bara några sekunder att göra om förvrängda data till läsbar information, säger säkerhetsexperten till Forbes.

– Min största farhåga är att data som skickas till deras servrar väldigt enkelt kan kopplas till specifika användare.

Öppnar för integritetsbrister i fler mobiler

Även Tierneys slår fast att telefonerna fortsätter att samla in och skickade vidare användardata om surfvanor trots att inkognitoläget är påslaget.

Han laddade även ner firmware till andra Xiaomi-telefoner, däribland Mi 10, Redmi K20 och Mi Mix3, och upptäckte att kodbasen var den samma i mobilernas inbyggda webbläsare. Det öppnar för att även dessa telefoner har integritetsbrister.

Läs mer: Test: Med 8 Pro är Oneplus på samma nivå som de allra största

Men Xiaomi samlar inte bara in data från inbyggda webbläsare. Även annan information, som ett unikt id-nummer samt vilken Android-version som är installerad på enheten, hämtas och skickas vidare, säger Andew Tierney och Gabi Cirlig.

”Den typen av metadata kan användas för att hitta en korrelation med människan som bakom skärmen”, säger Gabi Cirlig till Forbes.

Xiaomi: Integritet är högsta prioritet

Den kinesiska tekniktillverkaren Xiaomi har gjort en resa som andra nystartade teknikbolag bara kan drömma om. Från starten 2010 har Xiaomi, som uttalas tjiao-mii med, haft fullt fokus på aggressiv tillväxt, med slimmade priser och låga marginaler som främsta vapen. Snart tio år efter start visar färska siffror att bolaget är världens tredje största mobiltillverkare.

Bland svenska konsumenter har bolaget gjort sig känt bland att för sina el-scootrar, robotdammsugare och men så klart även smarta mobiltelefoner. Produkterna har i regel hög prestanda, och ett pris som ofta är betydligt lägre än konkurrenternas.

Läs mer: Test: ”Iphone SE efterlängtad och värdig uppföljare”

I en kommentar till Forbes bekräftar Xiaomi att bolaget samlar webbläsardata, men säger samtidigt att denna alltid anonymiseras för att inte kunna knytas till specifika användare.

Tillverkaren säger dessutom säkerhetsexperternas påståenden är ”osanna” och att ”integritet och säkerhet är högsta prioritet”.

Uppdaterade webbläsare

I dag måndag 4 maj meddelade även tillverkaren att man rullar ut en mjukvaruuppdatering till webbläsarna Mi Browser, Mi Browser Pro och Mint Browser.

Uppdateringen gör det möjligt för användarna att i inkognitoläge stänga av inhämtning av aggregerade data, uppger Xiaomi.

Artikeln är uppdaterad med förtydligande kring hur Xiaomi ska uttalas på svenska.

Kalle Wiklund

Mer om: Xiaomi Säkerhet

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt