Výzkumníci v oblasti kybernetické bezpečnosti našli důkazy, že prohlížeče Xiaomi shromažďují údaje o prohlížení i v režimu inkognito. Čtěte dále a dozvíte se více!
Aktualizace 3 (21. 5. 2020, 01:48 ET): Xiaomi aktualizovalo nastavení svého prohlížeče, aby bylo jasnější ve svém účelu a odstranilo předchozí zmatky.
Aktualizace 2 (5. 3. 2020, 10:14 ET): Ve své aktualizaci blogového příspěvku Xiaomi zmínilo, že jeho prohlížeče budou aktualizovány o možnost, která uživatelům umožní odhlásit se ze sledování v režimu inkognito.
Aktualizace 1 (1. 5. 2020, 15:36 EST): Xiaomi v reakci na tato obvinění zveřejnilo blogový příspěvek. Přejděte dolů a vyhledejte aktualizaci. Původní příběh zveřejněný 1. května 2020 v 06:18 EST je následující.
Smartphony Xiaomi jsou jednomyslně odsouhlaseny jako jeden z nejvýhodnějších nákupů dostupných na trhu v jakémkoli okamžiku. Něco zabalit šílený hardware za velmi lukrativní ceny, zejména na spodním konci trhu smartphonů, tyto telefony nabízejí nabídku, kterou spousta lidí prostě nemůže odmítnout. Xiaomi také bylo vnímavé k potřebám vývojářské komunity, s rozhodnutími, jako je např
Nedávné zprávy od bezpečnostních výzkumníků však poukazují na znepokojivý problém s ochranou soukromí pozorovaný na webových prohlížečích Xiaomi. Přispěvatel Forbes pro kybernetickou bezpečnost a přidružený editor Thomas Brewsterspolu s výzkumníky v oblasti kybernetické bezpečnosti Gabriel Cirlig a Andrew Tierney nedávno uzavřeno ve zprávě že různé webové prohlížeče Xiaomi odesílají data na vzdálené servery. Tvrdí, že odesílaná data zahrnovala historii všech navštívených webových stránek, včetně adres URL, všechny dotazy vyhledávače a všechny položky zobrazené na zpravodajském kanálu Xiaomi spolu se zařízením metadata. Co je na tomto tvrzení o shromažďování dat dokonce znepokojivé, je to, že tato data jsou shromažďována, i když zdánlivě prohlížíte s povoleným „anonymním režimem“.
Tento sběr dat se zdánlivě vyskytuje v předinstalovaném prohlížeči akcií na MIUI, stejně jako Mi Browser Pro a Prohlížeč mincovny, obě jsou k dispozici ke stažení prostřednictvím obchodu Google Play. Dohromady mají tyto prohlížeče v Obchodě Play více než 15 milionů stažení, přičemž standardní prohlížeč je předinstalovaný na všech zařízeních Xiaomi. Mezi testovaná zařízení patří Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 a Xiaomi Mi Mix 3. Nebyl rozdíl mezi zařízeními Android One nebo MIUI od Xiaomi, protože kód sbírky byl stejně nalezen ve výchozím prohlížeči. Zdá se, že tento problém není zaměřen na MIUI, ale závisí na tom, zda na svém zařízení používáte některý z těchto tří prohlížečů, bez ohledu na základní operační systém. Jiné prohlížeče, jako je Google Chrome a Apple Safari, shromažďují mnohem méně dat a omezují se na použití a analýzu selhání.
Xiaomi odpovědělo zdánlivým potvrzením, že údaje o prohlížení, které shromažďuje, jsou plně v souladu s místními zákony a předpisy týkajícími se ochrany osobních údajů uživatelů. Shromážděné informace byly schváleny uživatelem a byly anonymizovány. Společnost však tvrzení ve výzkumu popřela.
Tvrzení výzkumu jsou nepravdivá. Soukromí a bezpečnost jsou na prvním místě.
Toto video ukazuje sběr anonymních dat o prohlížení, což je jedno z nejběžnějších řešení přijatých společností internetové společnosti, aby zlepšily celkovou zkušenost s prohlížečem prostřednictvím analýzy, která není osobně identifikovatelná informace.
Výzkumníci však toto tvrzení o anonymitě považovali za pochybné. Data, která Xiaomi posílala, byla sice „zašifrovaná“, ale byla zakódována v base64, kterou lze snadno dekódovat. Vzhledem k tomu, že údaje o prohlížení mohou být dekódován poměrně triviálním způsobema protože shromážděná data obsahovala také metadata zařízení, mohla být tato data procházení zdánlivě korelována s akcemi jednotlivých uživatelů bez velkého úsilí.
Dále výzkumníci zjistili, že prohlížeče Xiaomi pingly na domény související se senzory Analytics, čínský startup známý také jako Sensors Data, známý poskytováním behaviorální analýzy služby. Prohlížeče také obsahovaly API s názvem SensorDataAPI. Xiaomi je také uvedeno jako zákazník na Webová stránka Sensors Data.
Xiaomi reagovalo na zprávu Forbes odmítnutím několika aspektů:
Zatímco Sensors Analytics poskytuje řešení pro analýzu dat pro Xiaomi, shromážděná anonymní data jsou uloženy na vlastních serverech Xiaomi a nebudou sdíleny se Sensors Analytics ani žádnou jinou třetí stranou společnosti.
Výzkumníci odpověděli proti odmítnutí Xiaomi s další důkaz jejich praxe shromažďování dat.
S dostupnými informacemi se zdá, že způsob, jakým tyto prohlížeče fungují, je znepokojivý problém s ochranou soukromí. Požádali jsme společnost Xiaomi o další komentář k těmto tvrzením.
Zdroj: Forbes
Aktualizace 1: Xiaomi reaguje v příspěvku na blogu
V an oficiální blogový příspěvek na Mi.com Xiaomi důrazně odmítla obvinění, že narušují soukromí uživatelů.
„Xiaomi byla zklamaná, když si přečetla nedávný článek z Forbesu. Domníváme se, že nepochopili, co jsme jim sdělili ohledně našich zásad a zásad ochrany osobních údajů. Soukromí a internetová bezpečnost našich uživatelů je u Xiaomi nejvyšší prioritou; jsme si jisti, že přísně dodržujeme a plně dodržujeme místní zákony a předpisy. Oslovili jsme Forbes, abychom tuto nešťastnou dezinterpretaci objasnili.“
Společnost potvrzuje, že shromažďuje „agregované statistické údaje o využití“, které zahrnují „informace o systému, preference, využití funkcí uživatelského rozhraní, odezva, výkon, využití paměti a zprávy o selhání." Uvádějí, že tyto informace "nelze samy o sobě použít k identifikaci žádné osoby." že se shromažďují adresy URL, ale že se to dělá za účelem „identifikace webových stránek, které se načítají pomalu“, aby mohli zjistit, „jak nejlépe zlepšit celkové procházení výkon."
Dále společnost uvádí, že se synchronizuje jednotlivá historie dat procházení, ale že se to děje pouze tehdy, když „je uživatel přihlášen k účtu Mi...a je nastavena funkce synchronizace dat na „Zapnuto“ v Nastavení.“ Odmítají, že by se data o prohlížení, kromě výše zmíněných agregovaných statistik využití, synchronizovala, když uživatel povolil anonymní režim.
Xiaomi poté zveřejnilo snímky úryvků kódu z jedné ze svých prohlížečových aplikací (neupřesnili však, který prohlížeč), o kterých tvrdí, že demonstrují své body. První úryvek kódu podle společnosti Xiaomi ukazuje dekompilovanou metodu, "jak [oni] vytvářejí náhodně generované jedinečné tokeny, které se připojují k souhrnným statistikám využití." Uvádějí, že „tyto tokeny neodpovídají žádným jednotlivcům." Další úryvek kódu je zdánlivě ze zdrojového kódu prohlížeče a ukazuje metodu, "jak Mi Browser funguje v režimu inkognito, kde žádné data procházení uživatele budou synchronizována." Třetí úryvek kódu ukazuje, že agregované statistiky využití, které Xiaomi shromažďuje, jsou „uloženy v doméně Xiaomi“ a nejsou předávány do Sensoru. Analytics. Konečně čtvrtý obrázek „ukazuje, že statistická data využití jsou přenášena protokolem HTTPS se šifrováním TLS 1.2.“
Aby toho všeho dosáhl, Xiaomi uvádí 4 certifikace, které jejich software obdržel od TrustArc a British Standard Institution (BSI). Tyto certifikace zahrnují ISO27001:2013, ISO27018:2014, ISO29151:2017 a TRUSTe.
V reakci na tento blogový příspěvek výzkumník kybernetické bezpečnosti Andrew Tierney přenesl na Twitter k vyvrácení tvrzení Xiaomi. Uvádí, že on a několik dalších znovu potvrdili zjištění na různých zařízeních – že „není pochyb o tom, že prohlížeč Mint odesílá vyhledávací výrazy a adresy URL, zatímco v režimu inkognito." Uvádí, že kód, který Xiaomi zveřejnila, neprokazuje, že jejich "náhodně generované jedinečné tokeny" nelze korelovat s jednotlivci. Výzkumníci poznamenávají, že se zdá, že UUID přetrvávat v relacích prohlížení a pouze změny při opětovné instalaci prohlížeče. Zda Xiaomi ukládá data pouze na své vlastní servery nebo jinde, nebylo pro výzkumníka také předmětem sporu. Výzkumník navíc uvádí, že Xiaomi nebylo obviněno z odesílání dat na vzdálené servery prostřednictvím nejistých metod — Mr. Tierney poznamenává, že aktuálním problémem jsou samotná data, která jsou odesláno.
Jsme rádi, že Xiaomi řeší tato obvinění přímo, ale zdá se, že vysvětlení v tuto chvíli neuspokojuje výzkumníky. Pro další vývoj budeme tento příběh sledovat.
Aktualizace 2: Xiaomi nabídne možnost odhlášení v příští aktualizaci prohlížeče
Xiaomi aktualizovalo své blogový příspěvek oznámit, že příští aktualizace Mint Browser a Mi Browser bude v režimu inkognito obsahovat možnost vypnout „agregovaný“ sběr dat. Aktualizace softwaru budou dnes odeslány ke schválení do obchodu Google Play a měly by být uživatelům k dispozici brzy.
Zbývá zjistit, zda tento sběr dat zůstane ve výchozím nastavení v anonymním režimu povolen, nebo ne. Doufáme, že není. Možnost odhlásit se přesto funguje při řešení některých problémů s ochranou soukromí.
Aktualizace 3: Xiaomi aktualizuje svůj prohlížeč Mi a Mint Browser, aby objasnil přepínač shromažďování inkognito dat
Zatímco Xiaomi vyřešilo obavy o soukromí pomocí nového přepínače nastavení, ve skutečnosti se stalo, že jazyk použitý pro přepínání byl zavádějící a dosáhl opaku toho, co bylo napsáno. Tak jako Android Authority poukazuje na to, „vylepšený režim inkognito"přepínač řekl:"Když je zapnutý anonymní režim, statistiky agregovaných dat se nebudou nahrávat“, což vedlo uživatele k přesvědčení, že přepnutím přepínače bude toto tvrzení pravdivé. Ale nebylo tomu tak. Formulace odrážela aktuální stav přepínače a nejednalo se o pravdivé/nepravdivé tvrzení, které změníte přepnutím přepínače.
Staré chování
Nyní společnost Xiaomi aktualizovala prohlížeče Mi a Mint Browser, aby měl tento přepínač lepší jazyk. Přepínač se nyní nazývá "Pomozte nám vylepšit prohlížeč Mi/Mint“ a doprovodný text říká „Zapněte, chcete-li s námi sdílet statistiky využití, když je zapnutý anonymní režim“, přičemž text zůstane stejný, když přepnete přepínač. To je mnohem jasnější pro účel a aktivní stav nastavení.
Nové chování
V obou verzích musí být přepínač ve vypnutém stavu, pokud nechcete, aby se vaše data shromažďovala v režimu inkognito. Je to jen text, který se mění, aby lépe odrážel stav. Nová aktualizace obou prohlížečů se dostává do obchodu Google Play.