Rapportera: Xiaomi-telefoner hämtar upp massor av webbläsardata, även i inkognitoläge

Xiaomi-telefoner och standardwebbläsaren installerad på dem registrerar enligt uppgift varje webbplats som en användare besöker - inklusive de som görs i "inkognito" -läge eller använder den integritetsfokuserade DuckDuckGo-webbläsaren - enligt Forbes.

Gabriel Cirlig, en säkerhetsforskare för White Ops som arbetat med Forbes, fann att hans Redmi Note 8-smartphone spelade in de mappar han öppnade, skärmarna han tittade på och inställningar som han ändrade.

Även om domäner var värd i Peking, skickades den informationen till servrar i Ryssland och Singapore.

Data krypterades, men Cirlig avkodade informationen eftersom den var i ett lätt knäckbart format som heter base64, vilket innebär att han kunde ändra den till läsbar information.

"Mitt främsta bekymmer för integritet är att data som skickas till deras servrar mycket lätt kan korreleras med en specifik användare," sa Cirlig Forbes.

Cirlig laddade ner firmware för andra populära Xiaomi-telefoner som Xiaomi MI 10, Xiaomi Redmi K20 och Xiaomi Mi MIX 3.

Eftersom dessa telefoner har samma webbläsarkod föreslår Cirlig att de kommer att ha samma säkerhetsproblem som hans egen Xiaomi Redmi Note 8.

Det konstaterades också att Xiaomis musikspelar-app samlade information om vilka låtar som spelades och när de spelades.

Cybersäkerhetsforskare Andrew Tierney fann enligt uppgift att Mi Browser Pro och Mint Browser - som har mer än 15 miljoner nedladdningar via Googles Play Store - samlade samma data.

Som svar sa Xiaomi att "forskningsanspråken är osanna", att "integritet och säkerhet är av största vikt", och att den "strikt följer och är helt i överensstämmelse med lokala lagar och bestämmelser om användardataintegritetsfrågor." Företaget sa att medan de samlade in surfdata, var dessa data anonymiserade.

Xiaomis talesman förnekade att surfdata registrerades medan användarna var i "inkognitoläge".

Forbes förse Xiaomi med en video gjord av Cirlig som visar information om att ett sökresultat skickas till fjärrservrar i "inkognito" -läge, men Xiaomi sa att det "visar insamlingen av anonyma surfdata, vilket är en av de vanligaste lösningarna som antagits av internetföretag.

för att förbättra den totala webbläsarupplevelsen genom att analysera icke-personligt identifierbar information.

"

"Många [other browsers] ta analys, men det handlar om användning och kraschar.

Att ta webbläsarbeteende, inklusive webbadresser, utan uttryckligt medgivande och i privat surfläge, är ungefär lika dåligt som det blir, berättade Tierney Forbes.

Xiaomi samlar påstås dessa uppgifter för att bättre förstå sina användares beteende och skickar dem till beteendeanalysföretaget Sensors Analytics.

Xiaomi bekräftade att "Sensors Analytics tillhandahåller en dataanalyslösning för Xiaomi", men sa "de insamlade anonyma uppgifterna lagras på Xiaomis egna servrar och kommer inte att delas med Sensors Analytics eller några andra tredjepartsföretag."

Xiaomi-telefoner och standardwebbläsaren installerad på dem registrerar enligt uppgift varje webbplats som en användare besöker - inklusive de som görs i "inkognito" -läge eller använder den integritetsfokuserade DuckDuckGo-webbläsaren - enligt Forbes.

Gabriel Cirlig, en säkerhetsforskare för White Ops som arbetat med Forbes, fann att hans Redmi Note 8-smartphone spelade in de mappar han öppnade, skärmarna han tittade på och inställningar som han ändrade.

Även om domäner var värd i Peking, skickades den informationen till servrar i Ryssland och Singapore.

Data krypterades, men Cirlig avkodade informationen eftersom den var i ett lätt knäckbart format som heter base64, vilket innebär att han kunde ändra den till läsbar information.

"Mitt främsta bekymmer för integritet är att data som skickas till deras servrar mycket lätt kan korreleras med en specifik användare," sa Cirlig Forbes.

Cirlig laddade ner firmware för andra populära Xiaomi-telefoner som Xiaomi MI 10, Xiaomi Redmi K20 och Xiaomi Mi MIX 3.

Eftersom dessa telefoner har samma webbläsarkod föreslår Cirlig att de kommer att ha samma säkerhetsproblem som hans egen Xiaomi Redmi Note 8.

Det konstaterades också att Xiaomis musikspelar-app samlade information om vilka låtar som spelades och när de spelades.

Cybersäkerhetsforskare Andrew Tierney fann enligt uppgift att Mi Browser Pro och Mint Browser - som har mer än 15 miljoner nedladdningar via Googles Play Store - samlade samma data.

Som svar sa Xiaomi att "forskningsanspråken är osanna", att "integritet och säkerhet är av största vikt", och att den "strikt följer och är helt i överensstämmelse med lokala lagar och bestämmelser om användardataintegritetsfrågor." Företaget sa att medan de samlade in surfdata, var dessa data anonymiserade.

Xiaomis talesman förnekade att surfdata registrerades medan användarna var i "inkognitoläge".

Forbes förse Xiaomi med en video gjord av Cirlig som visar information om att ett sökresultat skickas till fjärrservrar i "inkognito" -läge, men Xiaomi sa att det "visar insamlingen av anonyma surfdata, vilket är en av de vanligaste lösningarna som antagits av internetföretag.

för att förbättra den totala webbläsarupplevelsen genom att analysera icke-personligt identifierbar information.

"

"Många [other browsers] ta analys, men det handlar om användning och kraschar.

Att ta webbläsarbeteende, inklusive webbadresser, utan uttryckligt medgivande och i privat surfläge, är ungefär lika dåligt som det blir, berättade Tierney Forbes.

Xiaomi samlar påstås dessa uppgifter för att bättre förstå sina användares beteende och skickar dem till beteendeanalysföretaget Sensors Analytics.

Xiaomi bekräftade att "Sensors Analytics tillhandahåller en dataanalyslösning för Xiaomi", men sa "de insamlade anonyma uppgifterna lagras på Xiaomis egna servrar och kommer inte att delas med Sensors Analytics eller några andra tredjepartsföretag."