¿Está Xiaomi espiando la navegación web de sus móviles incluso en incógnito? Esto es todo lo que se sabe

🔥

Boston Dynamics Spotify Jurassic World 4 WhatsApp YouTube PS5 Pro Oro AltStore

04/05/2020 09:56

"Si tienes un teléfono Xiaomi o usas uno de sus navegadores, la compañía está rastreando tu uso de la web y mucho más." Así de tajante se mostraba el editor especializado en ciberseguridad de Forbes Thomas Brewster en su perfil de Twitter tras publicar un informe, en el que se explica cómo la compañía pekinesa habría estado recopilando y enviando datos de usuarios a servidores alojados en China, cuando éstos utilizaban uno de sus navegadores web, ya sea el integrado en los móviles de la marca, o bien la aplicación Mint Browser, disponible en Google Play para su descarga en los terminales de otras firmas.

Xiaomi

En colaboración con varios investigadores especializados en el campo de la ciberseguridad, se llegó a la conclusión de que dichas aplicaciones estaban enviando paquetes de datos que contenían información tal como el historial de páginas web y URLs visitadas, los elementos visitados a través del feed de noticias de Xiaomi, así como datos propios del dispositivo. Lo más preocupante, es que estos datos parecían estar siendo enviados incluso al utilizar el "modo incógnito".

Un modo incógnito no tan privado

Xiaomi Redmi Note 8

La recopilación y envío de estos datos parecía llevarse a cabo en todos y cada uno de los tres navegadores web que Xiaomi ofrece en sus móviles: tanto el integrado en MIUI, como en Mi Browser Pro y Mint Browser. Estos últimos se encuentran disponibles en Google Play para su descarga en otros dispositivos más allá de los de la firma, y juntos combinan un total de más de 15 millones de descargas. Además, se descubrió que los datos eran recopilados tanto en terminales con el sistema operativo MIUI, como en aquellos basados en la plataforma Android One.

Para demostrar el funcionamiento de esta técnica de recopilación de datos, los investigadores publicaron un vídeo en el que se puede ver cómo la información va siendo registrada para su posterior envío conforme el usuario navega por Internet. Ante tales acusaciones, Xiaomi explicaba en un comunicado que "los datos de la investigación no son ciertos" y que "la privacidad y la seguridad son sus principales preocupaciones".

Además de eso, alegan que el vídeo solo muestra la recopilación de datos anónimos, que, en palabras de la marca, "es una de las soluciones más comunes adoptadas por las compañías de internet para mejorar la experiencia general del producto del navegador a través del análisis de información de identificación no personal."

Pero los investigadores no parecen estar del todo convencidos por las palabras de Xiaomi. Sobre todo, porque si bien los datos enviados a los servidores alojados en China --y pertenecientes a la gigante de Internet Alibaba-- permanecían encriptados, el método de cifrado utilizado era base64, fácilmente descifrable. Además de eso, en los logs del navegador se encontraron "pings" a dominios relacionados con la compañía china de servicios analíticos Sensors Data. Por si eso no fuera suficiente, los investigadores apuntaban que, dado que entre la información compartida se encontraban datos identificativos de cada dispositivo, no sería demasiado difícil "relacionar los metadatos con el ser humano detrás de la pantalla".

The parameter data_list is the one I am interested in.

URL decode.

base64 decode.

Gunzip.

JSON data.

I don't think that should be there. pic.twitter.com/5CYH5FU9E4
— Cybergibbons (@cybergibbons) April 30, 2020

Xiaomi responde y ya permite desactivar el envío de datos en modo incógnito

Poco después de la publicación de este informe, Xiaomi decidió responder a las acusaciones a través de una publicación en su blog oficial. El día 2 de mayo, una versión inicial de esta publicación exponía el funcionamiento del sistema de recopilación y envío de URLs, reiterando que los datos eran anonimizados antes de su envío, y por tanto no estaban relacionados con el usuario del dispositivo de ningún modo.

Por otro lado, Xiaomi afirma que el historial de navegación se sincroniza, pero solo si el usuario ha iniciado sesión en su cuenta Mi y la opción se ha activado desde los ajustes del navegador. No obstante, niegan que los datos sean compartidos cuando se utiliza el modo incógnito del navegador.

Más adelante, el pasado día 3 de mayo, la marca aseguraba que una futura actualización para Mi Browser y Mint Browser ofrecería a los usuarios la posibilidad de activar o desactivar el sistema de "agregación" de datos en modo incógnito. Esa actualización llegó el día 4 de mayo, y ya se encuentra disponible para descargar a través de Google Play. Al anunciar esta función, la compañía indicaba que su llegada, sumada con la intención de la marca de mantener los datos que se comparten totalmente anónimos, demuestran el compromiso de la compañía con la privacidad de los usuarios.

Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.