وجد باحثو الأمن السيبراني دليلاً على أن متصفحات Xiaomi تقوم بجمع معلومات بيانات التصفح حتى في وضع التصفح المتخفي. واصل القراءة لمعرفة المزيد!
التحديث 3 (21/05/2020 الساعة 01:48 صباحًا بالتوقيت الشرقي): قامت شركة Xiaomi بتحديث إعدادات المتصفح الخاصة بها لتكون أكثر وضوحًا في غرضها، مما يزيل الالتباس السابق.
التحديث 2 (05/03/2020 الساعة 10:14 صباحًا بالتوقيت الشرقي): في تحديث منشور مدونتها، ذكرت Xiaomi أنه سيتم تحديث متصفحاتها بخيار يسمح للمستخدمين بإلغاء الاشتراك في التتبع في وضع التصفح المتخفي.
التحديث 1 (05/01/2020 @ 03:36 مساءً بتوقيت شرق الولايات المتحدة): نشرت Xiaomi منشورًا على مدونة ردًا على هذه الادعاءات. قم بالتمرير لأسفل للحصول على التحديث. القصة الأصلية، كما نُشرت في 1 مايو 2020 الساعة 06:18 صباحًا بتوقيت شرق الولايات المتحدة، هي كما يلي.
تم الاتفاق بالإجماع على أن هواتف Xiaomi الذكية هي واحدة من أفضل المشتريات ذات القيمة المتوفرة في السوق في أي وقت. التعبئة بعض الأجهزة المجنونة في بعض النقاط السعرية المربحة للغاية، خاصة في الطرف الأدنى من سوق الهواتف الذكية، تقدم هذه الهواتف عرضًا لا يستطيع الكثير من الأشخاص رفضه. كانت شركة Xiaomi أيضًا متقبلة لاحتياجات مجتمع المطورين، من خلال قرارات مثل
السماح بفتح أداة تحميل التشغيل دون التضحية بضمان الشركة المصنعة - مزيج يتجاهله الكثير من مصنعي المعدات الأصلية المشهورين الآخرين، بالإضافة إلى تحسين منتجاتهم بشكل كبير إصدارات مصدر النواة. هذه الأسباب تجعلها واحدة من أكثر الأجهزة شعبية في منتدياتنا، وقد اكتسبت بحق مكانة الشعبية هذه.ومع ذلك، تشير التقارير الأخيرة الصادرة عن باحثين أمنيين إلى مشكلة خصوصية مثيرة للقلق تمت ملاحظتها على متصفحات الويب الخاصة بشركة Xiaomi. مساهم في مجال الأمن السيبراني في مجلة فوربس ومحرر مشارك توماس بروستر، إلى جانب باحثين في مجال الأمن السيبراني غابرييل سيرليج و أندرو تيرني حديثاً خلصت في تقرير أن متصفحات الويب المختلفة لشركة Xiaomi كانت ترسل البيانات إلى خوادم بعيدة. ويزعمون أن البيانات المرسلة تتضمن سجلًا لجميع مواقع الويب التي تمت زيارتها، بما في ذلك عناوين URL، جميع استعلامات محرك البحث، وجميع العناصر التي يتم عرضها في موجز أخبار Xiaomi، بالإضافة إلى الجهاز البيانات الوصفية. ما يثير القلق بشأن ادعاء جمع البيانات هذا هو أنه يتم جمع هذه البيانات حتى لو كنت تتصفح على ما يبدو مع تمكين "وضع التصفح المتخفي".
يبدو أن جمع البيانات هذا يحدث على متصفح الأسهم المثبت مسبقًا على MIUI، بالإضافة إلى متصفح مي برو و متصفح النعناعوكلاهما متاح للتنزيل من خلال متجر Google Play. تحتوي هذه المتصفحات معًا على أكثر من 15 مليون عملية تنزيل على متجر Play، بينما يتم تحميل متصفح الأسهم مسبقًا على جميع أجهزة Xiaomi. تشمل الأجهزة التي تم اختبارها Xiaomi Redmi Note 8 وXiaomi Mi A1 وXiaomi Mi 10 وXiaomi Redmi K20 وXiaomi Mi Mix 3. ولم يكن هناك فرق بين أجهزة Android One أو MIUI الخاصة بشركة Xiaomi، حيث تم العثور على رمز المجموعة في المتصفح الافتراضي على أي حال. على هذا النحو، لا يبدو أن هذه المشكلة تتمحور حول MIUI ولكنها تعتمد على ما إذا كنت تستخدم أيًا من هذه المتصفحات الثلاثة على جهازك، بغض النظر عن نظام التشغيل الأساسي. تقوم المتصفحات الأخرى، مثل Google Chrome وApple Safari، بجمع بيانات أقل بكثير، وتقتصر على الاستخدام وتحليلات الأعطال.
وردت شركة Xiaomi بالتأكيد على ما يبدو على أن بيانات التصفح التي كانت تجمعها كانت متوافقة تمامًا مع القوانين واللوائح المحلية المتعلقة بمسائل خصوصية بيانات المستخدم. تمت موافقة المستخدم على المعلومات التي تم جمعها وكانت مجهولة المصدر. ومع ذلك، نفت الشركة هذه المزاعم الواردة في البحث.
ادعاءات البحث غير صحيحة. الخصوصية والأمن هو مصدر قلق كبير.
يعرض هذا الفيديو مجموعة بيانات التصفح المجهولة، والتي تعد من أكثر الحلول شيوعًا التي يعتمدها تعمل شركات الإنترنت على تحسين تجربة منتج المتصفح بشكل عام من خلال تحليل المعلومات غير الشخصية معلومة.
ومع ذلك، وجد الباحثون أن ادعاء عدم الكشف عن هويته مشكوك فيه. من المسلم به أن البيانات التي كانت ترسلها Xiaomi كانت "مشفرة"، ولكن تم تشفيرها في Base64، والتي يمكن فك تشفيرها بسهولة. منذ يمكن أن تكون بيانات التصفح تم فك تشفيرها بطريقة تافهة إلى حد ماوبما أن البيانات التي تم جمعها تحتوي أيضًا على بيانات تعريف الجهاز، فمن الممكن أن تكون بيانات التصفح هذه مرتبطة بالإجراءات التي يتخذها المستخدمون الفرديون دون بذل جهد كبير.
علاوة على ذلك، وجد الباحثون أن متصفحات Xiaomi كانت تقوم بإجراء اختبار اتصال (pinging) على المجالات المتعلقة بأجهزة الاستشعار Analytics، وهي شركة صينية ناشئة تُعرف أيضًا باسم Sensors Data، والمعروفة بتقديم التحليلات السلوكية خدمات. تحتوي المتصفحات أيضًا على واجهة برمجة تطبيقات تسمى SensorDataAPI. تم إدراج Xiaomi أيضًا كعميل في موقع بيانات أجهزة الاستشعار.
ردت شركة Xiaomi على تقرير Forbes بالرفض من عدة جوانب:
بينما توفر Sensors Analytics حلاً لتحليل البيانات لشركة Xiaomi، فإن البيانات المجهولة التي تم جمعها هي مخزنة على خوادم Xiaomi الخاصة ولن تتم مشاركتها مع Sensors Analytics أو أي طرف ثالث شركات.
رد الباحثون على إنكار Xiaomi بـ دليل آخر ممارساتهم في جمع البيانات.
ومع توفر المعلومات، يبدو أن هناك مشكلة خصوصية مثيرة للقلق في الطريقة التي تعمل بها هذه المتصفحات. لقد تواصلنا مع Xiaomi لمزيد من التعليق على هذه الادعاءات.
مصدر: فوربس
التحديث 1: رد Xiaomi في منشور المدونة
في مشاركة مدونة رسمية على موقع Mi.com، أنكرت شركة Xiaomi بشدة المزاعم القائلة بأنها تنتهك خصوصية المستخدم.
"شعرت شركة Xiaomi بخيبة أمل عندما قرأت المقال الأخير من مجلة Forbes. نشعر أنهم أساءوا فهم ما أرسلناه فيما يتعلق بمبادئ وسياسة خصوصية البيانات الخاصة بنا. تحظى خصوصية مستخدمينا وأمن الإنترنت بأولوية قصوى في شركة Xiaomi؛ نحن واثقون من أننا نتبع بدقة القوانين واللوائح المحلية ونلتزم بها تمامًا. لقد تواصلنا مع فوربس لتقديم توضيح بشأن هذا التفسير الخاطئ المؤسف.
وتؤكد الشركة أنها تجمع "بيانات إحصائيات الاستخدام المجمعة"، والتي تتضمن "معلومات النظام، والتفضيلات، واستخدام ميزات واجهة المستخدم، الاستجابة والأداء واستخدام الذاكرة وتقارير الأعطال." ويذكرون أن هذه المعلومات "لا يمكن استخدامها وحدها لتحديد هوية أي فرد." ويؤكدون يتم جمع عناوين URL، ولكن يتم ذلك "لتحديد صفحات الويب التي يتم تحميلها ببطء" حتى يتمكنوا من معرفة "أفضل طريقة لتحسين التصفح العام أداء."
بعد ذلك، تذكر الشركة أنه تتم مزامنة سجل بيانات التصفح الفردي، ولكن يتم ذلك فقط عندما "يقوم المستخدم بتسجيل الدخول على حساب Mi... ويتم تعيين وظيفة مزامنة البيانات إلى "تشغيل" ضمن الإعدادات." وينكرون أن بيانات التصفح، بصرف النظر عن بيانات إحصاءات الاستخدام المجمعة المذكورة أعلاه، تتم مزامنتها عندما يقوم المستخدم بتمكين وضع التصفح المتخفي.
قامت شركة Xiaomi بعد ذلك بنشر لقطات شاشة لمقتطفات التعليمات البرمجية من أحد تطبيقات المتصفح الخاصة بها (لم تحدد المتصفح الذي تستخدمه)، والتي يزعمون أنها توضح نقاطهم. يُظهر مقتطف الكود الأول، وفقًا لشركة Xiaomi، طريقة مفككة لـ "كيفية إنشاء رموز فريدة تم إنشاؤها عشوائيًا لإلحاقها بإحصائيات الاستخدام المجمعة". ويذكرون أن "هؤلاء الرموز المميزة لا تتوافق مع أي أفراد." يبدو أن مقتطف الكود التالي هو من الكود المصدري للمتصفح ويعرض طريقة "لكيفية عمل متصفح Mi في وضع التصفح المتخفي، حيث لا ستتم مزامنة بيانات تصفح المستخدم." يوضح مقتطف الكود الثالث أن إحصائيات الاستخدام المجمعة التي تجمعها Xiaomi "مخزنة في مجال Xiaomi" ولا يتم تمريرها إلى Sensor التحليلات. وأخيرًا، الصورة الرابعة "توضح أن بيانات إحصائية الاستخدام يتم نقلها باستخدام بروتوكول HTTPS بتشفير TLS 1.2."
ولتغطية كل ذلك، تستشهد شركة Xiaomi بعد ذلك بأربع شهادات حصلت عليها برامجها من TrustArc ومؤسسة المعايير البريطانية (BSI). وتشمل هذه الشهادات ISO27001:2013، وISO27018:2014، وISO29151:2017، وTRUSTe.
ردًا على منشور المدونة هذا، قال باحث الأمن السيبراني أندرو تيرني أخذت إلى تويتر لدحض ادعاءات Xiaomi. ويذكر أنه وعدة أشخاص آخرين أعادوا تأكيد النتائج عبر أجهزة متعددة - أنه "ليس هناك شك في أن متصفح Mint يرسل مصطلحات البحث وعناوين URL بينما في وضع التصفح المتخفي." ويذكر أن الكود الذي نشرته شركة Xiaomi لا يوضح أن "الرموز الفريدة التي تم إنشاؤها عشوائيًا" لا يمكن ربطها بالأفراد. لاحظ الباحثون أن UUID يبدو كذلك تستمر عبر جلسات التصفح والتغييرات فقط عند إعادة تثبيت المتصفح. ما إذا كانت شركة Xiaomi تقوم فقط بتخزين البيانات على خوادمها الخاصة أو في أي مكان آخر لم تكن نقطة خلاف بالنسبة للباحث أيضًا. بالإضافة إلى ذلك، يذكر الباحث أن شركة Xiaomi لم تكن متهمة بإرسال البيانات إلى خوادم بعيدة من خلال أساليب غير آمنة - السيد. ويشير تيرني إلى أن المشكلة المطروحة هي البيانات الموجودة نفسها مرسل.
يسعدنا أن نرى شركة Xiaomi تتناول هذه الادعاءات بشكل مباشر، ولكن يبدو أن التفسير لا يرضي الباحثين في هذه المرحلة. سنراقب هذه القصة لمزيد من التطورات.
التحديث 2: تقدم Xiaomi خيار إلغاء الاشتراك في التحديث التالي للمتصفح
قامت شركة Xiaomi بتحديث نظامها مشاركة مدونة للإعلان عن أن التحديث التالي لمتصفح Mint وMi Browser سيتضمن خيارًا في وضع التصفح المتخفي لإيقاف تشغيل جمع البيانات "المجمعة". سيتم إرسال تحديثات البرامج إلى متجر Google Play للموافقة عليها اليوم ويجب أن تكون متاحة للمستخدمين قريبًا.
يبقى أن نرى ما إذا كان جمع البيانات هذا سيظل ممكنًا افتراضيًا في وضع التصفح المتخفي أم لا. نأمل أن لا يكون كذلك. ومع ذلك، فإن وجود خيار إلغاء الاشتراك يعمل على معالجة بعض المخاوف المتعلقة بالخصوصية.
التحديث 3: تعمل شركة Xiaomi على تحديث متصفح Mi Browser ومتصفح Mint لتوضيح تبديل جمع بيانات التصفح المتخفي
وبينما عالجت شركة Xiaomi مخاوف الخصوصية من خلال تبديل الإعدادات الجديد، فإن ما حدث بالفعل هو أن اللغة المستخدمة للتبديل كانت مضللة، وحققت عكس ما هو مكتوب. مثل هيئة الروبوت يشير الى، ال "وضع التصفح المتخفي المحسن"قال تبديل:"لن يتم تحميل إحصائيات البيانات المجمعة عند تشغيل وضع التصفح المتخفي"، مما دفع المستخدمين إلى الاعتقاد بأن الضغط على مفتاح التبديل سيجعل هذا البيان صحيحًا. ولكن لم تكن هذه القضية. تعكس الصياغة الحالة الحالية للتبديل، ولم تكن عبارة صحيح/خطأ يمكنك تغييرها عن طريق النقر على المفتاح.
السلوك القديم
الآن، قامت Xiaomi بتحديث Mi Browser وMint Browser للحصول على لغة أفضل في هذا التبديل. يسمى التبديل الآن "ساعدنا في تحسين متصفح Mi/Mint"، والنص المصاحب يقول"قم بالتشغيل لمشاركة إحصائيات الاستخدام معنا عند تشغيل وضع التصفح المتخفي"، مع بقاء النص كما هو عند قلب المفتاح. وهذا أكثر وضوحًا بالنسبة للغرض والحالة النشطة للإعداد.
سلوك جديد
في كلا الإصدارين، يجب أن يكون التبديل في حالة إيقاف التشغيل إذا كنت ترغب في عدم جمع بياناتك في وضع التصفح المتخفي. إنه مجرد النص الذي يتغير ليعكس الحالة بشكل أفضل. يتم دفع التحديث الجديد لكلا المتصفحين إلى متجر Google Play.