Un an après l’étrange et importante faille de sécurité sur le navigateur du fabricant de smartphones, Forbes se fait l’écho d’un pistage de la navigation Internet de l’utilisation du smartphone. « C’est une porte dérobée avec la fonctionnalité de téléphone », explique à nos confrères le chercheur en cybersécurité à l’origine de cette découverte.
Un second, Andrew Tierney, a vérifié les navigateurs Mi Browser Pro et Mint disponibles sur le Play Store. Il confirme la situation et ajoute que les données récoltées pourraient « très facilement être corrélées avec un utilisateur en particulier ». De son côté, Xiaomi affirmait que les données étaient chiffrées... mais il n’était en fait question que d'un… encodage Base64, ne nécessitant « que quelques secondes à transformer les données brouillées en morceaux d’information lisibles ».
Interrogée, la société se défend : elle réfute les accusations de risque sur la vie privée, mais confirme le suivi des utilisateurs. Elle nie par contre le faire en navigation privée. Face à une vidéo prouvant le contraire, elle rétorque que cette vidéo « montre la collecte de données de navigation anonymes, qui est l’une des solutions les plus courantes adoptée ».
Depuis, le constructeur a déployé une mise à jour de ses navigateurs pour permettre aux utilisateurs de désactiver la collecte de données « anonymes », en navigation privée uniquement. Mais elle n’est pas active par défaut et nécessite de parcourir les paramètres pour la trouver.
Pour les deux chercheurs en cybersécurité, la conclusion est sans appel : « C’est largement pire que n’importe lequel des navigateurs grand public que j’ai vu ».
Commentaires (33)
#1
Une raison de plus pour ne pas faire confiance à Xiaomi.
" />
#2
Et il n’y a pas que la navigateur qui bave chez xiaomi. remontées de stats via data.mistat.intl.xiaomi.com toutes es minutes, ping au chat de fr.app meme chose, etc. Et ce n’est pas parce que les autres font soit disant pareil que cela justifie l’attitude xiaomi.
#3
Ça va finir comme pour Huawei avec des restrictions ridicules.
N’utilisez plus Windows 10, les remontées de données sont une véritable hémorragie.
#4
Mer. L’un de vous pourrait me conseiller un comparatif fiable et sérieux sur les navigateurs android respectueux de la vie privée. Ras le bol de tous ces suceurs de données.
#5
Un comparatif qui compare quoi ?
Si tu cherches un navigateur mobile respectueux de la vie privée, il y en a plein. Firefox Mobile / Preview / Focus, Tor Browser, Brave… Ce qui compte le plus, c’est le paramétrage, il faut y passer du temps au début de l’utilisation, après on est tranquille.
#6
J’aimerais vous recommander Blokada, pour android. Il s’insère entre le téléphone et l’internet, se déclarant comme VPN, et emploie des blacklists/whitelists pour ne pas laisser passer le traçage, en plus de fonctionner comme bloqueur de pub. Gratuit, et open-source, ce qui n’est pas mal je trouve.
#7
Xiaomi affirmait que les données étaient chiffrées… mais il n’était en fait question que d’un… encodage Base64.
Sérieusement ?
Rien que ça, ça mérite de bonnes baffes…
#8
#9
Je vais regarder merci. J’ai bien aimé les commentaires sur le playstore:
" />
Q : L’application ne démarre pas automatiquement au démarrage de mon meizu m6t
R : Chinese devices have… Let’s say… “special” needs. Some of them struggle on the OS side
#10
L’article 7 de la loi chinoise sur le renseignement national de juin 2017 stipule que toutes les sociétés et les individus chinois doivent coopérer avec les services de renseignements chinois afin de protéger la « sécurité nationale ».
#11
Seul la version DNS est sur le playstore dans mes souvenirs d’ou les commentaires. L’appli complete est sur F-DROID.
#12
le cloud act contient exactement la même chose côté américain.
#13
Certes, mais la Chine reste une dictature totalitaire.
Les US sont très très sales, néanmoins le pays reste “démocratique”.
Là c’est intentionnel comme partage d’info, c’est fait sciemment, c’est pas “oups on n’a merdé”.
#14
Oui j’ai été sur leur site. Ce que je veux dire c’est que naïvement je ne mettais pas dans le même panier Xiaomi et Huawei par exemple. La réponse donnée est édifiante.
#15
#16
#17
Tiens, Xiaomi aurait-il retiré la backdoor de la NSA ?
#18
J’avais lu l’article de Forbes. Cette collecte en mode incognito est inacceptable.
Même si j’utilise Firefox, ça m’ennuie, parce que j’ai acheté récemment un Xiaomi Mi 9 Lite, et je le trouvais excellent :-/ .
“Heureusement”, une panne soudaine est survenue après 4 mois (écran complètement éteint), et donc je dois racheter un téléphone. Mais à part le Samsung A50/A51, dans cette gamme de prix, il n’avait guère de concurrent (avec écran AMOLED, lecteur d’empreintes, bon ratio écran/taille, lecteur de cartes SD).
#19
J’ai un Xiaomi, il y a moyen de vérifier cela ?
#20
oui avec blokada et j’ai mis mes DNS chez la FDN. Tu verras les requetes google et autres merdes a pub tu vas pleurer ;) . A defaut de rooter ton xiaomi tu peux aussi desinstaller les logiciels integrés avec ADB
#21
#22
il y a une liste specifique pour les mouchards xiaomi pour huawei je ne sais pas.
#23
+1 pour blokada je l’utilise depuis plus d’un an avec les listes StevenBlack Unifié, GoodBye Ads by Jerryn70, Bloqueur Xiaomi par Jerryn70 et un hosts sur mon domaine perso pour compléter les bavures restantes (≈50 lignes pour le moment)
Également pas de compte google ni de comtpe xiaomi d’enregistrés sur le téléphone
#24
Pour le matériel je ne sais pas si tu as du hardware backdoor, mais ce serait bête de se priver de bon matos à petit prix.
Perso j’ai flashé Lineage for microG sur mon Mi 8, ça fonctionne très bien.
Xiaomi permettant suffisamment facilement d’unlock le bootloader et de changer de ROM (juste le délais pour “obtenir” le droit d’unlock sur ton compte qui peut mettre 2 semaines).
#25
Samsung le fait aussi. ;)
#26
#27
OK
Tu as les références d’un smartphone fabriqué aux US, ou dans tout autre pays plus démocratique que la Chine ?
#28
Pratiquant tous les smartphones sont fabriqués en Chine.
Mais moins sont crées en Chine. ;)
#29
Devzero a écrit :
+1 pour blokada je l’utilise depuis plus d’un an avec les listes StevenBlack Unifié, GoodBye Ads by Jerryn70, Bloqueur Xiaomi par Jerryn70 et un hosts sur mon domaine perso pour compléter les bavures restantes (≈50 lignes pour le moment)
Merci pour l’astuce
#30
Oui, mais le rapport matériel / prix n’est pas le même
" />
#31
Quand c’est gratuit c’est vous le produit 😁
#32
Pas toujours… et parfois, vous êtes le produit même quand c’est payant, alors cette expression a clairement ses limites
" />
#33
Je vais essayer cette appli, merci pour le conseil !