Skylt på Xiaomi-butik
Foto: Depositphotos

Xiaomi spionerade på inkognito­surfare

Webbläsaren Mint Browser har gjort ett anmärkningsvärt integritetsövertramp. Det upptäckte säkerhetskonsulten Andrew Tierney (@Cybergibbons) under den gångna långhelgen. Mint Browser utvecklas av den snabbväxande mobiltillverkaren Xiaomi och levereras förinstallerad på deras mobiler. Webbläsaren går även att ladda ned till andra Android-mobiler via Google Play.

Tierney har upptäckt att Mint Browser rapporterar användarnas surf- och sökvanor till Xiaomi. I en officiell replik från Xiaomi förklarar bolaget att detta endast sker om användaren har aktiverat datasynkronisering för att exempelvis kunna nå sin webbhistorik från alla sina Xiaomi-enheter. Annars rapporteras endast aggregerad statistiskdata som enligt Xiaomi inte kan användas för att identifiera någon individ. Tierneys granskning visar att så inte är fallet och att rapporteringen dessutom sker när användare surfar i inkognitoläge (även kallat privat läge).

Xiaomi samlar in surf- och sökvanor

I ett Youtube-klipp demonstrerar Tierney hur hans Google-sökningar skickas till Xiaomis servrar. Tillsammans med hans sökfrågor skickas också ett unikt ID som är detsamma oavsett om han surfar som vanligt eller i inkognitoläge.

Andrew Tierney demonstrerar spårningen i Xiaomis webbläsare.

Även om ID:t inte innehåller några personliga uppgifter är det högst anmärkningsvärt att ID:t skickas tillsammans med sökfrågorna och webbhistoriken. Sådan data är i tillräcklig mängd allt som krävs för att lista ut vem en specifik person är. Via dokumentationen i Xiaomis uttalande ser vi också att webbläsaren behåller samma unika ID i 90 dagar, vilket gör att tre månaders surf- och sökhistorik länkas samman.

Xiaomi är idag världens fjärde största mobiltillverkare. Deras mobiler i Mi- och Redmi-serien har på senare år blivit populära i Sverige tack vare kombinationen av lågt pris och hög prestanda. Hur många svenskar som ovetandes har skickat sin surf- och sökhistorik är oklart. Vi vet inte heller hur länge datainsamlingen har pågått eller ifall fler Xiaomi-appar beter sig på samma sätt.

Under gårdagen (söndag) rullade Xiaomi ut en uppdatering till Mint Browser. Enligt uppdateringsbeskrivningen erbjuder webbläsaren nu möjligheten att stänga av datainsamlingen i inkognitoläget. Faktumet att ingen sådan datainsamling borde ske överhuvudtaget kvarstår tillsammans med risken för att användare inte vet om att de borde stänga av insamlingen.

Rekommendation

Vi avråder från användning av Xiaomis webbläsare Mint Browser. Vi rekommenderar också att lyssna på poddavsnitt 17 av Bli säker-podden för mer information om inkognitolägets generella innebörd.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.

Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

Kommentera

Man handlar med kort från datorn.

Podd #90: Tänk säkert med Polisen

Den här veckan gästar kriminalkommissarie Jan Olsson från Nationellt IT-brottscentrum Bli säker-podden för att berätta om kortbedrägerier på nätet.

Tänk säkert-logotypen på MSB-bakgrund

Podd #89: Tänk säkert med MSB

Veckans Bli säker-podd gästas av Marianne Rilde Björkman och Jan-Olof Olsson från MSB. De berättar om Tänk säkert-kampanjen och resultatet från undersökningen.