Parlant de son Xiaomi Redmi Note 8, Gabi Cirlig a déclaré : « c'est une porte dérobée avec des fonctionnalités de téléphone », ironise Gabi Cirlig à propos de son nouveau téléphone. Il s’est entretenu avec des médias après avoir découvert que son smartphone Redmi Note 8 regardait une grande partie de ce qu'il faisait sur son écran. Ces données étaient ensuite envoyées à des serveurs distants hébergés par une autre grande enseigne chinoise de technologie, Alibaba, qui étaient ostensiblement loués par Xiaomi.Le chercheur chevronné en cybersécurité a découvert qu'une quantité inquiétante de son comportement était suivie, tandis que divers types de données sur les appareils étaient également collectés, laissant Cirlig imaginer que son identité et sa vie privée pouvaient être exposées à la société chinoise.
Lorsqu'il a parcouru le Web depuis le navigateur Xiaomi par défaut de l'appareil, l’appareil a enregistré tous les sites Web qu'il a visités, y compris les requêtes des moteurs de recherche, que ce soit avec Google ou avec le DuckDuckGo axé sur la confidentialité, et chaque élément consulté sur une fonctionnalité de fil d'actualité du logiciel Xiaomi. Ce suivi semblait se produire même s'il utilisait le mode soi-disant « incognito » privé.
Le chercheur en cybersécurité Andrew Tierney a lui aussi mené son enquête. Ce dernier a également découvert que les navigateurs fournis par Xiaomi sur Google Play - Mi Browser Pro et Mint Browser - collectaient les mêmes données. Ensemble, ils ont plus de 15 millions de téléchargements, selon les statistiques de Google Play.
« Ma principale préoccupation pour la confidentialité est que les données envoyées à leurs serveurs peuvent être très facilement corrélées avec un utilisateur spécifique », a précisé Cirlig.
Un porte-parole de Xiaomi a réfuté l'allégation selon laquelle les données de navigation soient enregistrées en mode navigation privée. Cependant, Cirlig et Tierney ont découvert dans leurs tests indépendants que leurs habitudes Web étaient envoyées à des serveurs distants, quel que soit le mode de navigation du navigateur, fournissant des photos et des vidéos comme preuve.
Lorsqu'une vidéo réalisée par Cirlig montrant comment sa recherche Google pour « porno » et une visite sur le site PornHub ont été envoyées à des serveurs distants, même en mode incognito, a été fournie à Xiaomi, le porte-parole de la société a continué de nier que les informations étaient enregistrées . « Cette vidéo montre la collecte de données de navigation anonymes, qui est l'une des solutions les plus couramment adoptées par les sociétés Internet pour améliorer l'expérience globale des produits de navigation en analysant les informations non personnellement identifiables », a-t-il assuré.
Cirlig et Tierney ont déclaré que le comportement de Xiaomi était plus invasif que d'autres navigateurs comme Google Chrome ou Apple Safari. « C'est bien pire que tous les navigateurs grand public que j'ai vus », a déclaré Tierney. « Beaucoup d'entre eux prennent des données pour analyse, mais il s'agit d'analyse sur une utilisation qui a conduit à un plantage. Prendre le comportement du navigateur, y compris les URL, sans consentement explicite et en mode de navigation privée, est le plus mauvais comportement possible ».
Et il semble y avoir des problèmes avec la façon dont Xiaomi transfère les données vers ses serveurs. Bien que la société chinoise ait affirmé que les données étaient chiffrées lors de leur transfert dans le but de protéger la vie privée des utilisateurs, Cirlig a découvert qu'il était en mesure de voir rapidement ce qui était transféré de son appareil en décodant un bloc d'informations qui était caché avec une forme d’encodage facilement décodable (il s’agissait notamment de base64). Il a fallu quelques secondes à Cirlig pour transformer les données tronquées en morceaux d'informations lisibles.
Depuis, le constructeur a déployé une mise à jour de ses navigateurs pour permettre aux utilisateurs de désactiver la collecte de données « anonymes », en navigation privée uniquement. Mais elle n’est pas active par défaut et nécessite de parcourir les paramètres pour la trouver.
Dans un billet de blog détaillant l'évolution de sa réponse, Xiaomi a d'abord indiqué le 3 mai 2020 :
« Nous aimerions exprimer notre appréciation pour l’engagement des chercheurs, la discussion passionnée et constructive.
« Compte tenu de notre objectif de fournir des services et des produits sécurisés de classe mondiale à tous les utilisateurs, notre prochaine mise à jour du logiciel Mint Browser et Mi Browser comprendra une option en mode navigation privée pour tous les utilisateurs des deux navigateurs pour activer / désactiver la collecte de données agrégées, dans un effort pour renforcer encore le contrôle que nous accordons aux utilisateurs sur le partage de leurs propres données avec Xiaomi. Les mises à jour logicielles seront soumises à Google Play pour approbation dans la journée (3 mai, GMT + 8).
« Nous pensons que cette fonctionnalité, combinée à notre approche de conservation des données agrégées sous une forme non identifiable, va au-delà de toute exigence légale et démontre l'engagement de notre entreprise envers la confidentialité des utilisateurs.
« Comme toujours, Xiaomi invite les utilisateurs à participer au développement et à l'avancement de nos produits. Écouter les commentaires des utilisateurs et les laisser participer à l'avenir de Xiaomi a été au cœur de notre entreprise depuis le début ».
Puis aujourdhui, Xiaomi a indiqué que l'outil était déjà disponible :
« les mises à jour logicielles sont disponibles pour nos produits de navigation, notamment Mi Browser préchargé, Mi Browser Pro sur Google Play et Mint Browser sur Google Play.
« Les dernières versions sont: Mi Browser / Mi Browser Pro (v12.1.4) et Mint Browser (v3.4.3).
« Ces mises à jour logicielles incluent une option en mode navigation privée pour tous les utilisateurs des deux navigateurs pour activer / désactiver la collecte de données agrégées.
« Nous vous remercions tous pour votre attention, vos suggestions et votre dévouement au cours des derniers jours afin d'améliorer encore l'expérience utilisateur globale de nos produits et services ».
Source : Xiaomi
Et vous ?
Que pensez-vous de cette réponse de Xiaomi ? Avez-vous déjà utilisé l'un de ses navigateurs ? Qu'en pensez-vous ?Voir aussi :
Des chercheurs préviennent que Xiaomi a enregistré les habitudes de millions d'utilisateurs, aussi bien lorsqu'ils allaient sur le web que lorsqu'ils se servaient de leur dispositif 
Envoyé par Stéphane le calme
