De acuerdo con Xiaomi, esta sincronización solo se realiza cuando está activada en la cuenta de usuario Mi y asegura con unos pantallazos de código que el usuario no es identificado en los datos enviados (cosa que nunca afirmaron los investigadores; el problema reside en que esos datos capturados pueden asociarse a una identidad por el gran detalle y el volumen de los mismos). Tierney y otros investigadores, por su parte, han respondido criticando el sistema de tokens mostrado por Xiaomi, puesto que el identificador único universal (UUID) parece ser persistente entre sesiones de navegación y solo se regenera cuando se reinstala el navegador. Y sobre todo, el problema subyacente: el navegador recoge y envía información de uso en modo privado.
Tras la respuesta de Tierney, Xiaomi ha decidido hacer opcional la recolección de datos en modo incógnito en futurs versiones de sus navegadores. El blog no señala si vendrá activada o desactivada por defecto, pero los usuarios podrán gestionarla en Mint y Mi Browser tras actualizar las aplicaciones.
Noticia original: Los teléfonos de Xiaomi registran las sesiones de navegación por Internet de sus usuarios, incluyendo las realizadas en modo privado, y mantienen un registro de aplicaciones ejecutadas e interacciones. Así lo afirman dos investigadores citados por Forbes, que en un artículo señala que el fabricante de teléfonos chino monitoriza la actividad de sus dispositivos y envía posteriormente dicha información a servidores en Rusia y Singapur sin apenas medidas de seguridad.
Según Gabriel Cirlig, un experto en bots y malware que trabaja para la firma de ciberseguridad White Ops, todo comenzó cuando empezó a ver que su Redmi Note 8 estaba recopilando una cantidad de datos desproporcionada a través del navegador de Xiaomi, realizando un seguimiento de sus búsquedas en motores como Google y DuckDuckGo incluso con el modo incógnito activado.
Este comportamiento fue comprobado por un segundo investigador Andrew Tierney, que corroboró que los navegadores de Xiaomi Mi Browser Pro y Mint Browser realizan un seguimiento de la actividad de sus usuarios. Esta monitorización es mucho más agresiva que las técnicas de seguimiento utilizadas por navegadores como Chrome, pero resulta doblemente notable por seguir realizándose incluso cuando se señala explícitamente que no se quiere enviar información de uso a terceras partes.
Cirlig, que ufanamente describe su móvil como "una puerta trasera con funcionalidad de teléfono", afirma haber detectado el código responsable de este funcionamiento en el firmware de los Xiaomi MI 10, Xiaomi Redmi K20 y Xiaomi Mi Mix 3.
Otros aspectos monitorizados por los teléfonos de Xiaomi incluyen las carpetas a las que se accede y las pantallas a las que el usuario se desplaza con un gesto de deslizamiento, como por ejemplo la barra de estado y el panel de configuración. Asimismo, el reproductor de música recoge los archivos de audio reproducidos y su hora.
Demostración de un teléfono Xiaomi enviando una sesión privada a un servidor remoto codificando los datos con Base64.
Según Xiaomi, sus teléfonos no capturan información en modo incógnito, algo que Cirlig y Tierney rechazan con un vídeo en el que se aprecia la transmisión de información durante una visita a PornHub. Estos datos son posteriormente procesados por una startup china llamada Sensors Analytics, que ofrece su propia plataforma de "análisis de comportamiento en profundidad" y diversos servicios para "explorar las historias ocultas" que se esconden tras los patrones de uso.
Antes de publicar el artículo, Forbes se dirigió al fabricante en busca de declaraciones. Según Xiaomi, las afirmaciones de la investigación no son ciertas y "la privacidad y la seguridad son su máxima preocupación". Posteriormente Forbes envió el vídeo con la captura de datos fue enviado a Xiaomi, obteniendo la siguiente respuesta:
Este vídeo muestra la recogida de datos de navegación anónimos que es una de las soluciones más comunes adoptadas por las compañías de internet para mejorar su experiencia general de producto de navegación a través del análisis de información que no puede ser utilizada para identificar al usuario.
De igual forma, Xiaomi confirmó que tiene un acuerdo con Sensor Analytics para el procesamiento de datos de uso, aunque el fabricante asegura que la información de uso se almacena en servidores propios "y no será compartida con Sensor Analytics ni ninguna otra tercera compañía".
Las palabras de Xiaomi sigue presentado dos problemas básicos: la información se recoge incluso en incógnito y la cantidad recogida es tal que el usuario puede ser identificado con facilidad incluso si los datos se anonimizan. A esto se suma un tercer problema, potencialmente igual o más grave: a pesar de que Xiaomi asegura que los datos se cifran con medios criptográficos, Cirlig pudo comprobar que al menos parte de ellos solo están procesados con Base64, lo que hace que su lectura sea un asunto trivial.
Actualizaremos esta información si Xiaomi proporciona información más detallada sobre su gestión de los datos de navegación.
