Xiaomi spionerade på inkognito­surfare

Webbläsaren Mint Browser har gjort ett anmärkningsvärt integritetsövertramp. Det upptäckte säkerhetskonsulten Andrew Tierney (@Cybergibbons) under den gångna långhelgen. Mint Browser utvecklas av den snabbväxande mobiltillverkaren Xiaomi och levereras förinstallerad på deras mobiler. Webbläsaren går även att ladda ned till andra Android-mobiler via Google Play.

Tierney har upptäckt att Mint Browser rapporterar användarnas surf- och sökvanor till Xiaomi. I en officiell replik från Xiaomi förklarar bolaget att detta endast sker om användaren har aktiverat datasynkronisering för att exempelvis kunna nå sin webbhistorik från alla sina Xiaomi-enheter. Annars rapporteras endast aggregerad statistiskdata som enligt Xiaomi inte kan användas för att identifiera någon individ. Tierneys granskning visar att så inte är fallet och att rapporteringen dessutom sker när användare surfar i inkognitoläge (även kallat privat läge).

Xiaomi samlar in surf- och sökvanor

I ett Youtube-klipp demonstrerar Tierney hur hans Google-sökningar skickas till Xiaomis servrar. Tillsammans med hans sökfrågor skickas också ett unikt ID som är detsamma oavsett om han surfar som vanligt eller i inkognitoläge.

Även om ID:t inte innehåller några personliga uppgifter är det högst anmärkningsvärt att ID:t skickas tillsammans med sökfrågorna och webbhistoriken. Sådan data är i tillräcklig mängd allt som krävs för att lista ut vem en specifik person är. Via dokumentationen i Xiaomis uttalande ser vi också att webbläsaren behåller samma unika ID i 90 dagar, vilket gör att tre månaders surf- och sökhistorik länkas samman.

Xiaomi är idag världens fjärde största mobiltillverkare. Deras mobiler i Mi- och Redmi-serien har på senare år blivit populära i Sverige tack vare kombinationen av lågt pris och hög prestanda. Hur många svenskar som ovetandes har skickat sin surf- och sökhistorik är oklart. Vi vet inte heller hur länge datainsamlingen har pågått eller ifall fler Xiaomi-appar beter sig på samma sätt.

Under gårdagen (söndag) rullade Xiaomi ut en uppdatering till Mint Browser. Enligt uppdateringsbeskrivningen erbjuder webbläsaren nu möjligheten att stänga av datainsamlingen i inkognitoläget. Faktumet att ingen sådan datainsamling borde ske överhuvudtaget kvarstår tillsammans med risken för att användare inte vet om att de borde stänga av insamlingen.

Rekommendation

Vi avråder från användning av Xiaomis webbläsare Mint Browser. Vi rekommenderar också att lyssna på poddavsnitt 17 av Bli säker-podden för mer information om inkognitolägets generella innebörd.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.