Изследователите на киберсигурността са открили доказателства, че браузърите на Xiaomi са събирали информация за данни за сърфиране дори в режим "инкогнито". Прочетете, за да научите повече!
Актуализация 3 (21.05.2020 г. в 01:48 ч. ET): Xiaomi актуализира настройките на своя браузър, за да бъде по-ясно предназначението им, премахвайки предишното объркване.
Актуализация 2 (03.05.2020 г. в 10:14 ч. ET): В своята актуализация на публикацията в блога Xiaomi спомена, че нейните браузъри ще бъдат актуализирани с опция, която позволява на потребителите да се откажат от проследяване в режим инкогнито.
Актуализация 1 (01.05.2020 г. @ 15:36 EST): Xiaomi публикува публикация в блог в отговор на тези обвинения. Превъртете надолу за актуализацията. Оригиналната история, публикувана на 1 май 2020 г. в 06:18 ч. EST, е следната.
Смартфоните на Xiaomi са единодушно приети като едни от покупките с най-добра стойност на пазара във всеки един момент. Опаковане на малко безумен хардуер на някои много изгодни ценови точки,
Въпреки това, скорошни доклади от изследователи по сигурността сочат към тревожен проблем с поверителността, наблюдаван в уеб браузърите на Xiaomi. Сътрудник на киберсигурността на Forbes и асоцииран редактор Томас Брустър, заедно с изследователи по киберсигурност Габриел Чирлиг и Андрю Тиърни наскоро заключение в доклад че различните уеб браузъри на Xiaomi изпращат данни до отдалечени сървъри. Те твърдят, че изпратените данни включват история на всички посетени уебсайтове, включително URL адресите, всички заявки в търсачката и всички елементи, прегледани в емисия новини на Xiaomi, заедно с устройството метаданни. Това, което дори е тревожно относно това твърдение за събиране на данни, е, че тези данни се събират дори ако привидно сърфирате с активиран „режим инкогнито“.
Това събиране на данни изглежда се случва в предварително инсталирания стандартен браузър на MIUI, както и в Mi Browser Pro и Браузър Mint, като и двете са достъпни за изтегляне от Google Play Store. Заедно тези браузъри имат над 15 милиона изтегляния в Play Store, докато основният браузър е предварително инсталиран на всички устройства на Xiaomi. Тестваните устройства включват Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi Mix 3. Нямаше разлика между устройствата Android One или MIUI на Xiaomi, тъй като кодът за събиране така или иначе беше намерен в браузъра по подразбиране. Като такъв този проблем не изглежда да е в центъра на MIUI, но зависи от това дали използвате някой от тези три браузъра на вашето устройство, независимо от основната операционна система. Други браузъри, като Google Chrome и Apple Safari, събират много по-малко данни, ограничавайки се до анализи на използването и сривовете.
Xiaomi отговори, като привидно потвърди, че данните за сърфиране, които събира, са напълно съвместими с местните закони и разпоредби относно поверителността на потребителските данни. Събраната информация е одобрена от потребителя и е анонимна. Компанията обаче отрече твърденията в изследването.
Твърденията на изследването са неверни. Поверителността и сигурността са от първостепенно значение.
Това видео показва събирането на анонимни данни за сърфиране, което е едно от най-често срещаните решения, приети от интернет компании, за да подобрят цялостното изживяване на продукта на браузъра чрез анализиране на лица, които не могат да бъдат идентифицирани лично информация.
Изследователите обаче намират това твърдение за анонимност за съмнително. Данните, които Xiaomi изпращаше, наистина бяха „криптирани“, но бяха кодирани в base64, което лесно може да бъде декодирано. Тъй като данните за сърфиране могат да бъдат декодиран по доста тривиален начин, и тъй като събраните данни съдържат и метаданни на устройството, тези данни за сърфиране изглежда могат да бъдат свързани с действията на отделните потребители без значителни усилия.
Освен това изследователите установиха, че браузърите Xiaomi пингват домейни, свързани със сензори Analytics, китайски стартъп, известен също като Sensors Data, известен с предоставянето на поведенчески анализи услуги. Браузърите също съдържат API, наречен SensorDataAPI. Xiaomi също е посочен като клиент на Уеб сайт за сензорни данни.
Xiaomi отговори на доклада на Forbes с отричане по няколко аспекта:
Докато Sensors Analytics предоставя решение за анализ на данни за Xiaomi, събраните анонимни данни са се съхранява на собствените сървъри на Xiaomi и няма да се споделя със Sensors Analytics или друга трета страна компании.
Изследователите отговориха на отказа на Xiaomi с допълнително доказателство от тяхната практика за събиране на данни.
С наличната информация изглежда наистина има тревожен проблем с поверителността в начина, по който функционират тези браузъри. Свързахме се с Xiaomi за допълнителен коментар относно тези твърдения.
източник: Форбс
Актуализация 1: Xiaomi отговаря в публикация в блога
В ан официална публикация в блога на Mi.com Xiaomi категорично отрече обвиненията, че нарушават поверителността на потребителите.
„Xiaomi беше разочарован да прочете скорошната статия от Forbes. Смятаме, че те са разбрали погрешно това, което съобщихме относно нашите принципи и политика за поверителност на данните. Поверителността на нашите потребители и интернет сигурността са от първостепенно значение за Xiaomi; ние сме уверени, че стриктно спазваме и спазваме изцяло местните закони и разпоредби. Свързахме се с Forbes, за да предложим яснота относно това злощастно погрешно тълкуване.
Компанията потвърждава, че събира „обобщени статистически данни за употребата“, които включват „системна информация, предпочитания, използване на функции на потребителския интерфейс, отзивчивост, производителност, използване на паметта и доклади за сривове." Те заявяват, че тази информация "не може да се използва сама за идентифициране на което и да е лице." Те потвърждават че URL адресите се събират, но че това се прави, за да „идентифицират уеб страници, които се зареждат бавно“, така че да могат да разберат „как най-добре да подобрят цялостното сърфиране производителност."
След това компанията заявява, че индивидуалната хронология на данните за сърфиране се синхронизира, но това се прави само когато „потребителят е влязъл в Mi акаунт... и функцията за синхронизиране на данни е зададена на „Включено“ под Настройки.“ Те отричат, че данните за сърфиране, с изключение на гореспоменатите обобщени статистически данни за употребата, се синхронизират, когато потребителят е активирал инкогнито режим.
След това Xiaomi публикува екранни снимки на кодови фрагменти от едно от техните приложения за браузър (те обаче не уточниха кой браузър), за които твърдят, че демонстрират техните точки. Първият кодов фрагмент, според Xiaomi, показва декомпилиран метод за „как [те] създават произволно генерирани уникални токени, които да добавят към обобщените статистически данни за употребата“. Те заявяват, че „тези токените не съответстват на никакви лица." Следващият кодов фрагмент изглежда е от изходния код на браузъра и показва метод за "как Mi Browser работи в режим инкогнито, където не данните за сърфирането на потребителя ще бъдат синхронизирани." Третият кодов фрагмент показва, че обобщената статистика за употреба, която Xiaomi събира, се "съхранява в домейна на Xiaomi" и не се предава на Sensor Анализ. И накрая, четвъртото изображение "показва, че статистическите данни за употребата се прехвърлят с HTTPS протокол на TLS 1.2 криптиране."
За да завърши всичко, Xiaomi след това цитира 4 сертификата, които техният софтуер е получил от TrustArc и British Standard Institution (BSI). Тези сертификати включват ISO27001:2013, ISO27018:2014, ISO29151:2017 и TRUSTe.
В отговор на тази публикация в блога, изследователят по киберсигурност Андрю Тиърни отиде в Twitter за да опровергае твърденията на Xiaomi. Той заявява, че той и няколко други са потвърдили отново констатациите на множество устройства – че „няма съмнение, че браузърът Mint изпраща думи за търсене и URL адреси, докато в режим инкогнито." Той заявява, че публикуваният от Xiaomi код не демонстрира, че техните „произволно генерирани уникални токени" не могат да бъдат свързани с индивиди. Изследователите отбелязват, че UUID изглежда продължават през сесиите на сърфиране и само промени когато браузърът е преинсталиран. Дали Xiaomi съхранява данните само на собствените си сървъри или другаде не беше спорна точка и за изследователя. В допълнение, изследователят заявява, че Xiaomi не е обвинен в изпращане на данните до отдалечени сървъри чрез несигурни методи - Mr. Тиърни отбелязва, че проблемът е самите данни, които се обработват изпратено.
Радваме се да видим, че Xiaomi се обръща директно към тези обвинения, но обяснението изглежда не удовлетворява изследователите на този етап. Ще следим тази история за по-нататъшно развитие.
Актуализация 2: Xiaomi ще предложи опция за отказ при следващата актуализация на браузъра
Xiaomi актуализира своята блог пост за да обявим, че следващата актуализация на браузъра Mint и браузъра Mi ще включва опция в режим инкогнито за изключване на събирането на „обобщени“ данни. Софтуерните актуализации ще бъдат изпратени до Google Play Store за одобрение днес и трябва да бъдат достъпни за потребителите доста скоро.
Остава да видим дали това събиране на данни ще остане активирано по подразбиране в режим инкогнито или не. Надяваме се, че не е така. Все пак наличието на опция за отказ работи за справяне с някои проблеми с поверителността.
Актуализация 3: Xiaomi актуализира своите браузъри Mi и браузър Mint, за да изясни своя превключвател за събиране на данни инкогнито
Въпреки че Xiaomi се справи с опасенията за поверителността с нов превключвател на настройките, това, което всъщност се случи, беше, че езикът, използван за превключването, беше подвеждащ, постигайки обратното на написаното. Като Android Authority посочва, „подобрен инкогнито режим” превключване каза: „Обобщените статистически данни няма да се качват, когато режимът инкогнито е включен”, което накара потребителите да повярват, че включването на превключвателя ще направи това твърдение вярно. Но това не беше така. Формулировката отразяваше текущото състояние на превключвателя и не беше твърдение вярно/невярно, което променяте чрез завъртане на превключвателя.
Старо поведение
Сега Xiaomi актуализира Mi Browser и Mint Browser, за да има по-добър език на този превключвател. Превключвателят сега се нарича "Помогнете ни да подобрим браузъра Mi/Mint“, а придружаващият текст гласи „Включете, за да споделяте статистика за употребата с нас, когато режимът инкогнито е включен“, като текстът остава същият, когато завъртите превключвателя. Това е много по-ясно за предназначението и активното състояние на настройката.
Ново поведение
И в двете версии превключвателят трябва да е в изключено състояние, ако не искате вашите данни да се събират в режим инкогнито. Просто текстът се променя, за да отразява по-добре състоянието. Новата актуализация и на двата браузъра се изпраща в Google Play Store.