Xiaomi, le fabricant de smartphones chinois, est accusé d’enregistrer la navigation en mode incognito de ses utilisateurs.
Xiaomi est accusé d’enregistrer les interactions des utilisateurs avec ses téléphones et d’envoyer les données aux serveurs hébergés par Alibaba à Singapour et en Russie qui ont été loués par le géant chinois.
Thomas Brewster de Forbes et les chercheurs en cybersécurité Gabriel Cirlig et Andrew Tierney ont découvert que le Redmi Note 8 observait les habitudes téléphoniques des utilisateurs et les envoyait aux serveurs loués de Xiaomi.
Il a été constaté que lors de la navigation sur le Web à l’aide du navigateur Xiaomi par défaut du terminal, tous les sites Web et les requêtes des moteurs de recherche étaient enregistrés. Il a également surveillé chaque élément consulté sur une fonctionnalité de fil d’actualités du logiciel Xiaomi. De façon inquiétante, la surveillance semble se produire même lors de la navigation en mode incognito.
Le téléphone a également envoyé des données sur les dossiers ouverts et les interactions avec l’écran d’accueil, ainsi que les numéros d’appareil uniques et les versions d’Android.
Tierney a découvert qu’en plus du navigateur préinstallé sur MIUI, le système d’exploitation Android de Xiaomi, le Mi Browser Pro de la société et le navigateur Mint, tous deux disponibles sur Google Play avec plus de 15 millions de téléchargements, collectaient également des données utilisateur.
Cirlig a découvert que le même code de suivi du navigateur était présent dans le code du micrologiciel d’autres téléphones Xiaomi, y compris les Xiaomi MI 10, Xiaomi Redmi K20 et Xiaomi Mi MIX 3.
Xiaomi a déclaré que les données envoyées étaient cryptées, mais qu’elles étaient encodées en code Base64, qui peut être craqué en quelques secondes, ce qui signifie que le chercheur a pu rapidement décoder les informations. «Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique», a averti Cirlig.
Face à cette révélation, Xiaomi a admis avoir collecté les données du navigateur des utilisateurs, mais a déclaré que c’était par consentement et anonymisé. L’entreprise a également nié l’enregistrement des données de navigation lors de l’utilisation du mode navigation privée. Forbes a fourni à Xiaomi une vidéo prouvant qu’il enregistrait des sessions de navigation privées, mais la marque a continué de nier les faits.
« Cette vidéo montre la collecte de données de navigation anonymes, qui est l’une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l’expérience globale des produits de navigation en analysant des informations non personnellement identifiables », a déclaré un porte-parole.
Bien que la plupart des entreprises de technologie fassent la collecte de données sur les utilisateurs, il n’est pas censé être aussi facile de les associer à des utilisateurs spécifiques, ce qui semble être le cas ici.
