Браузеры Xiaomi шпионят за вами

admin 07.04.2021

Они даже знают, на какой странице вы не забыли перейти в режим инкогнито.

Mi Browser Pro и Mint Browser отправляют информацию о вашей активности на внешние серверы.

Mi Browser Pro и Mint Browser предустановлены на телефонах Xiaomi. Forbes недавно обвинил Xiaomi в утаивании истории всех посещенных веб-сайтов. Xiaomi, в свою очередь, обвиняет Forbes в искажении фактов. Они утверждают, что сбор данных осуществляется в соответствии с передовой практикой и что сами данные агрегируются и анонимизируются без какого-либо отношения к личности пользователя.

Этот аргумент может показаться вам знакомым. Это почти идентично, например, сообщениям Avast после того, как было обнаружено, что они шпионили за пользователями, а поставщики браузеров загружали свои расширения из магазинов надстроек. Такие попытки анонимизировать обрабатываемые данные обычно просто неэффективны, вопрос в том, является ли это иногда преднамеренным действием.

Перекомпиляция скажет вам правду

Благодаря энтузиастам, которые декомпилировали Mint Browser 3.4.0, мы уже знаем, насколько серьезна ситуация. В статье Forbes поясняется, что данные отправляются на серверную часть Sensors Analytics. sa.api.intl.miui.com - это имя хоста этого бэкэнда, и это сервер, принадлежащий Xiaomi - да, это не секретные данные, Xiaomi признала это сама.

Имя этого сервера появляется в классе miui.globalbrowser.common_business.gi.

Согласно заверениям Xiaomi, идентификатор генерируется случайным образом без связи с пользователем и, прежде всего, обновляется каждые 90 дней. Но 90 дней - довольно большой срок даже для случайно сгенерированного идентификатора. При наличии достаточного количества точек данных по ним должно быть легко установить личность пользователя. Это еще не все.

На самом деле ID постоянный. Изменение uuid приводит к тому, что если временная метка отличается от текущего времени более чем на 7776000000 миллисекунд (90 дней), будет сгенерирован новый идентификатор. Однако реализация неверна, и единственный сценарий, в котором будет сгенерирован новый идентификатор - это когда метод не вызывался в течение 90 дней, что означает, что браузер не запускался в течение 90 дней. Это маловероятно, поэтому изменения в uuid только иллюзорны.

Но и это еще не все. Самое приятное то, что Xiaomi использует такой «анонимный» номер только тогда, когда идентификатор учетной записи Xiaomi недоступен. Таким образом, если пользователь вошел в систему в браузере, данные отслеживания будут немедленно связаны с его учетной записью Xiaomi. И она связана, по крайней мере, с адресом электронной почты пользователя, возможно, также с другими идентифицирующими параметрами.

Что отправлено?

Код отправляет все веб-сайты, которые вы посещаете, на сервер аналитики. Один раз, когда страница начинает загружаться, а другой раз, когда она заканчивается. Сообщение в блоге Xiaomi, очевидно, объясняет, почему существует такой код: URL-адрес собирается для идентификации веб-сайтов, которые загружаются медленно; это дает нам представление о том, как лучше всего улучшить общую производительность просмотра.

Убедило ли вас это объяснение? В конце концов, когда дело доходит до медленных сайтов, почему бы не рассчитать время загрузки страницы локально и не загружать данные только для этих медленных сайтов? Это по-прежнему не очень хорошо для нашей конфиденциальности, но на порядок лучше, чем то, что на самом деле реализовала Xiaomi. Является ли отправка всех посещенных адресов хорошим компромиссом между безопасностью (производительностью) и конфиденциальностью?

Более того, более подробное исследование раскрывает еще более печальную правду. Например, класс miui.globalbrowser.news.YMTSearchActivity записывает то, что вы ищете на YouTube.

Если вы используете Mint Browser (и, вероятно, Mi Browser Pro тоже), то предположите, что Xiaomi не только знает, какие веб-сайты вы посещаете, но также знает, что вы ищете, какие фильмы вы смотрите, что загружаете и какие веб-сайты вы добавляли страницу быстрого набора.

Хотите узнать, что такое контент-маркетинг и в чем его преимущества, читайте здесь.