Celulares da Xiaomi estão espionando navegação de usuários, dizem especialistas
Por Felipe Junqueira | 01 de Maio de 2020 às 12h30
Pesquisadores descobriram que navegadores da Xiaomi “espionam” o usuário mesmo quando são executados em modo anônimo. Os especialistas em segurança digital Gabriel Cirlig e Andrew Tierney revelaram a um repórter da Forbes que três diferentes browsers desenvolvidos pela empresa chinesa, sendo um deles nativo dos dispositivos da companhia, enviam dados do usuário a um servidor na China.
- MIUI 12: vídeos mostram novo app de câmera e novas animações da interface
- Os melhores launchers para personalizar a tela inicial do Android
Cirlig descobriu que seu Redmi Note 8 envia vários dados de navegação diretamente para um servidor chinês, pertencente ao Grupo Alibaba, alugado pela Xiaomi. As informações coletadas incluem histórico de navegação com URLs, formulários de mecanismos de busca e itens vistos no feed de notícias, além de metadados do dispositivo. E isso mesmo quando navegando no modo anônimo.
Os pesquisadores fizeram testes em vários dispositivos da fabricante chinesa: Redmi Note 8, Mi A1, Mi 10, Redmi K20 e Mi Mix 3. Todos enviaram as mesmas informações para o servidor chinês, independente de rodarem a MIUI ou uma versão “limpa” do programa Android One. Ou seja, é um recurso dos navegadores, e não apenas do nativo da Xiaomi, mas também do Navegador Mi e Mint Browser, que podem ser baixados na Google Play Store por qualquer usuário.
Xiaomi se defende
A Forbes entrou em contato com a companhia para pedir explicações. A empresa negou qualquer irregularidade ou problema de privacidade em seus navegadores, mas confirmou que há uma “coleta de dados anônimos”, com permissão do usuário.
“Em resposta a nossas descobertas, a Xiaomi disse que 'as alegações dos pesquisadores não são verdadeiras' e que 'privacidade e segurança são nossa maior preocupação', incluindo que a empresa 'segue rigorosamente e respeita totalmente leis e regulações locais sobre privacidade do usuário'. Mas um porta-voz confirmou que há coleta de dados de navegação, alegando que ela é anônima e não ligada à identidade. E disse que os usuários concordaram com tal rastreamento”, explica a reportagem.
De fato, é comum que navegadores compartilhem ao menos parte dos dados de navegação mesmo quando a janela anônima é ativada. O problema aí é o compartilhamento de metadados do dispositivo, que poderiam permitir a alguém relacionar o conteúdo teoricamente anônimo ao usuário que o acessou, segundo os pesquisadores de segurança.
Segundo Cirlig e Tierney, de fato há uma criptografia dos dados enviados, mas é de um tipo que não oferece muita dificuldade de decodificação, no padrão base64. Além disso, eles observam que os metadados do dispositivo coletados e enviados junto ao histórico de navegação podem ser usados para identificar o usuário.
A Huawei sofre sanções do governo americano justamente porque Donald Trump desconfia que os dispositivos da empresa enviam dados privados dos usuários para servidores chineses. No caso da Xiaomi, não parece haver nenhuma ligação com o governo de Xi Jinping, porque os dados são enviados para uma empresa privada. Ainda assim, pode ser um problema para a companhia caso o presidente americano decida se encrencar com ela.
Como se proteger
Basta não utilizar navegadores desenvolvidos pela Xiaomi. Além do browser padrão que vem instalado em todos os celulares da companhia, tem ainda o Mint Browser e o Mi Browser Pro, ambos disponíveis na Google Play Store e com um total somado de 15 milhões de downloads.
Como alternativa, é melhor usar o Google Chrome, navegador padrão de todo dispositivo Android com os Serviços do Google Mobile, ou procurar por outras opções de terceiros como Firefox, Opera, entre outros. Esses não enviam dados que possam permitir a alguém relacionar o que você faz na internet com o seu dispositivo, ao menos quando navegar no modo anônimo.
Atualização (04/05/2020)
A Xiaomi disponibilizou nesta segunda-feira (4) versões atualizadas do Mi Browser e Mi Browser Pro (12.1.4) e do Mint Browser (3.4.3) no Google Play. Agora, o navegador oferece a opção de desligar a coleta de dados durante o modo anônimo.
A empresa declarou em seu blog que o armazenamento era feito de maneira não identificável e não violava a lei, mas que a nova funcionalidade demonstra o seu comprometimento com a privacidade dos usuários.
Download:Mi Browser Pro | Mint Browser
Fonte: Forbes