Ερευνητές κυβερνοασφάλειας βρήκαν στοιχεία ότι τα προγράμματα περιήγησης της Xiaomi συλλέγουν πληροφορίες δεδομένων περιήγησης ακόμη και σε κατάσταση ανώνυμης περιήγησης. Διαβάστε παρακάτω για να μάθετε περισσότερα!
Ενημέρωση 3 (21/05/2020 @ 01:48 π.μ. ET): Η Xiaomi ενημέρωσε τις ρυθμίσεις του προγράμματος περιήγησής της για να είναι πιο σαφείς ως προς τον σκοπό τους, αφαιρώντας την προηγούμενη σύγχυση.
Ενημέρωση 2 (05/03/2020 @ 10:14 ET): Στην ενημέρωση της ανάρτησης ιστολογίου, η Xiaomi ανέφερε ότι τα προγράμματα περιήγησής της θα ενημερωθούν με μια επιλογή που θα επιτρέπει στους χρήστες να εξαιρεθούν από την παρακολούθηση σε κατάσταση ανώνυμης περιήγησης.
Ενημέρωση 1 (05/01/2020 @ 03:36 PM EST): Η Xiaomi δημοσίευσε μια ανάρτηση ιστολογίου ως απάντηση σε αυτούς τους ισχυρισμούς. Κάντε κύλιση προς τα κάτω για την ενημέρωση. Η αρχική ιστορία, όπως δημοσιεύτηκε την 1η Μαΐου 2020, στις 06:18 π.μ. EST, έχει ως εξής.
Τα smartphone Xiaomi συμφωνήθηκαν ομόφωνα ότι είναι μία από τις καλύτερες αγορές που διατίθενται στην αγορά ανά πάσα στιγμή. Συσκευάζοντας μερικά
Ωστόσο, πρόσφατες αναφορές από ερευνητές ασφαλείας αναφέρουν ένα ανησυχητικό ζήτημα απορρήτου που παρατηρείται στα προγράμματα περιήγησης ιστού της Xiaomi. Συνεργάτης στον κυβερνοχώρο και συνεργάτης εκδότης του Forbes Τόμας Μπρούστερ, μαζί με ερευνητές κυβερνοασφάλειας Gabriel Cirlig και Andrew Tierney πρόσφατα καταλήγει σε έκθεση ότι τα διάφορα προγράμματα περιήγησης ιστού της Xiaomi έστελναν δεδομένα σε απομακρυσμένους διακομιστές. Ισχυρίζονται ότι τα δεδομένα που αποστέλλονται περιελάμβαναν ένα ιστορικό όλων των ιστότοπων που επισκέφθηκαν, συμπεριλαμβανομένων των διευθύνσεων URL, όλα τα ερωτήματα στις μηχανές αναζήτησης και όλα τα στοιχεία που προβάλλονται στη ροή ειδήσεων της Xiaomi, μαζί με τη συσκευή μεταδεδομένα. Αυτό που είναι ακόμη ανησυχητικό σχετικά με αυτόν τον ισχυρισμό συλλογής δεδομένων είναι ότι αυτά τα δεδομένα συλλέγονται ακόμα κι αν φαινομενικά περιηγείστε με ενεργοποιημένη την "κατάσταση ανώνυμης περιήγησης".
Αυτή η συλλογή δεδομένων φαίνεται ότι πραγματοποιείται στο προεγκατεστημένο πρόγραμμα περιήγησης stock στο MIUI, καθώς και Mi Browser Pro και Πρόγραμμα περιήγησης Mint, και τα δύο είναι διαθέσιμα για λήψη μέσω του Google Play Store. Μαζί, αυτά τα προγράμματα περιήγησης έχουν πάνω από 15 εκατομμύρια λήψεις στο Play Store, ενώ το πρόγραμμα περιήγησης stock είναι προφορτωμένο σε όλες τις συσκευές Xiaomi. Οι συσκευές που δοκιμάστηκαν περιλαμβάνουν τα Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 και Xiaomi Mi Mix 3. Δεν υπήρχε διάκριση μεταξύ των συσκευών Android One ή MIUI της Xiaomi, καθώς ο κωδικός συλλογής βρέθηκε ούτως ή άλλως στο προεπιλεγμένο πρόγραμμα περιήγησης. Ως εκ τούτου, αυτό το ζήτημα δεν φαίνεται να επικεντρώνεται στο MIUI, αλλά εξαρτάται από το αν χρησιμοποιείτε κάποιο από αυτά τα τρία προγράμματα περιήγησης στη συσκευή σας, ανεξάρτητα από το υποκείμενο λειτουργικό σύστημα. Άλλα προγράμματα περιήγησης, όπως το Google Chrome και το Apple Safari συλλέγουν πολύ λιγότερα δεδομένα, περιορίζοντας τον εαυτό τους στη χρήση και στα αναλυτικά στοιχεία σφαλμάτων.
Η Xiaomi απάντησε φαινομενικά επιβεβαιώνοντας ότι τα δεδομένα περιήγησης που συνέλεγε ήταν πλήρως συμβατά με τους τοπικούς νόμους και κανονισμούς σχετικά με θέματα απορρήτου δεδομένων χρήστη. Οι πληροφορίες που συλλέχθηκαν ήταν με τη συναίνεση του χρήστη και ανωνυμοποιήθηκαν. Ωστόσο, η εταιρεία αρνήθηκε τους ισχυρισμούς στην έρευνα.
Οι ισχυρισμοί της έρευνας είναι αναληθείς. Το απόρρητο και η ασφάλεια είναι πρωταρχικής σημασίας.
Αυτό το βίντεο δείχνει τη συλλογή ανώνυμων δεδομένων περιήγησης, η οποία είναι μια από τις πιο κοινές λύσεις που υιοθετούνται από εταιρείες διαδικτύου να βελτιώσουν τη συνολική εμπειρία προϊόντος του προγράμματος περιήγησης μέσω της ανάλυσης μη προσωπικών στοιχείων πληροφορίες.
Οι ερευνητές, ωστόσο, βρήκαν αυτόν τον ισχυρισμό ανωνυμίας αμφίβολο. Τα δεδομένα που έστελνε η Xiaomi ήταν ομολογουμένως «κρυπτογραφημένα», αλλά κωδικοποιήθηκαν στο base64, το οποίο μπορεί εύκολα να αποκωδικοποιηθεί. Δεδομένου ότι τα δεδομένα περιήγησης μπορεί να είναι αποκωδικοποιημένα με μάλλον ασήμαντο τρόπο, και δεδομένου ότι τα δεδομένα που συλλέχθηκαν περιείχαν επίσης μεταδεδομένα συσκευής, αυτά τα δεδομένα περιήγησης θα μπορούσαν φαινομενικά να συσχετιστούν με τις ενέργειες μεμονωμένων χρηστών χωρίς σημαντική προσπάθεια.
Επιπλέον, οι ερευνητές διαπίστωσαν ότι τα προγράμματα περιήγησης Xiaomi έκαναν ping σε τομείς που σχετίζονται με τους Αισθητήρες Το Analytics, μια κινεζική startup γνωστή και ως Sensors Data, γνωστή για την παροχή αναλύσεων συμπεριφοράς Υπηρεσίες. Τα προγράμματα περιήγησης περιείχαν επίσης ένα API που ονομάζεται SensorDataAPI. Η Xiaomi αναφέρεται επίσης ως πελάτης στο Ιστοσελίδα δεδομένων αισθητήρων.
Η Xiaomi απάντησε στην αναφορά του Forbes με άρνηση σε διάφορες πτυχές:
Ενώ το Sensors Analytics παρέχει μια λύση ανάλυσης δεδομένων για τη Xiaomi, τα ανώνυμα δεδομένα που συλλέγονται είναι αποθηκευμένο στους διακομιστές της Xiaomi και δεν θα κοινοποιηθεί στο Sensors Analytics ή σε οποιοδήποτε άλλο τρίτο μέρος εταιρείες.
Οι ερευνητές απάντησαν κατά της άρνησης της Xiaomi με περαιτέρω απόδειξη της πρακτικής τους στη συλλογή δεδομένων.
Με τις διαθέσιμες πληροφορίες, φαίνεται να υπάρχει ένα ανησυχητικό ζήτημα απορρήτου στον τρόπο λειτουργίας αυτών των προγραμμάτων περιήγησης. Επικοινωνήσαμε με τη Xiaomi για περαιτέρω σχόλια σχετικά με αυτούς τους ισχυρισμούς.
Πηγή: Forbes
Ενημέρωση 1: Η Xiaomi ανταποκρίνεται στην ανάρτηση ιστολογίου
Σε μια επίσημη ανάρτηση ιστολογίου στο Mi.com, η Xiaomi αρνήθηκε κατηγορηματικά τους ισχυρισμούς ότι παραβιάζουν το απόρρητο των χρηστών.
«Η Xiaomi ήταν απογοητευμένη όταν διάβασε το πρόσφατο άρθρο από το Forbes. Θεωρούμε ότι έχουν παρεξηγήσει αυτό που επικοινωνήσαμε σχετικά με τις αρχές και την πολιτική απορρήτου των δεδομένων μας. Το απόρρητο και η ασφάλεια των χρηστών μας στο διαδίκτυο είναι ύψιστης προτεραιότητας στη Xiaomi. είμαστε βέβαιοι ότι ακολουθούμε αυστηρά και συμμορφωνόμαστε πλήρως με τους τοπικούς νόμους και κανονισμούς. Απευθυνθήκαμε στο Forbes για να προσφέρουμε σαφήνεια σχετικά με αυτήν την ατυχή παρερμηνεία».
Η εταιρεία επιβεβαιώνει ότι συλλέγει "συγκεντρωτικά δεδομένα στατιστικών χρήσης", τα οποία περιλαμβάνουν "πληροφορίες συστήματος, προτιμήσεις, χρήση λειτουργιών διεπαφής χρήστη, ανταπόκριση, απόδοση, χρήση μνήμης και αναφορές σφαλμάτων." Δηλώνουν ότι αυτές οι πληροφορίες "δεν μπορούν από μόνες τους να χρησιμοποιηθούν για την αναγνώριση οποιουδήποτε ατόμου." Επιβεβαιώνουν ότι οι διευθύνσεις URL συλλέγονται, αλλά αυτό γίνεται για να "προσδιορίσει τις ιστοσελίδες που φορτώνουν αργά", ώστε να μπορούν να καταλάβουν "πώς να βελτιώσετε καλύτερα τη συνολική περιήγηση εκτέλεση."
Στη συνέχεια, η εταιρεία δηλώνει ότι το ατομικό ιστορικό δεδομένων περιήγησης συγχρονίζεται, αλλά αυτό γίνεται μόνο όταν "ο χρήστης είναι συνδεδεμένος στον λογαριασμό Mi...και έχει οριστεί η λειτουργία συγχρονισμού δεδομένων στο "Ενεργό" στις Ρυθμίσεις." Αρνούνται ότι τα δεδομένα περιήγησης, εκτός από τα προαναφερθέντα δεδομένα συγκεντρωτικών στατιστικών στοιχείων χρήσης, συγχρονίζονται όταν ο χρήστης έχει ενεργοποιήσει την κατάσταση ανώνυμης περιήγησης.
Στη συνέχεια, η Xiaomi δημοσίευσε στιγμιότυπα οθόνης με αποσπάσματα κώδικα από μια από τις εφαρμογές του προγράμματος περιήγησής της (δεν διευκρίνισε ποιο πρόγραμμα περιήγησης, ωστόσο) που ισχυρίζονται ότι καταδεικνύει τα σημεία τους. Το πρώτο απόσπασμα κώδικα, σύμφωνα με τη Xiaomi, δείχνει μια απομεταγλωττισμένη μέθοδο για το «πώς [που] δημιουργούν μοναδικά διακριτικά που δημιουργούνται τυχαία για να τα προσαρτήσουν σε συγκεντρωτικά στατιστικά στοιχεία χρήσης». Δηλώνουν ότι «αυτά τα διακριτικά δεν αντιστοιχούν σε κανένα άτομο." Το επόμενο απόσπασμα κώδικα προέρχεται φαινομενικά από τον πηγαίο κώδικα του προγράμματος περιήγησης και δείχνει μια μέθοδο για το "πώς λειτουργεί το Mi Browser σε κατάσταση ανώνυμης περιήγησης, όπου όχι Τα δεδομένα περιήγησης των χρηστών θα συγχρονιστούν." Το τρίτο απόσπασμα κώδικα δείχνει ότι τα συγκεντρωτικά στατιστικά στοιχεία χρήσης που συλλέγει η Xiaomi "αποθηκεύονται στον τομέα της Xiaomi" και δεν μεταβιβάζονται στο Sensor Analytics. Τέλος, η τέταρτη εικόνα "δείχνει ότι τα στατιστικά δεδομένα χρήσης μεταφέρονται με πρωτόκολλο HTTPS κρυπτογράφησης TLS 1.2."
Για να τα καλύψει όλα, η Xiaomi αναφέρει στη συνέχεια 4 πιστοποιήσεις που έχει λάβει το λογισμικό της από την TrustArc και το British Standard Institution (BSI). Αυτές οι πιστοποιήσεις περιλαμβάνουν ISO27001:2013, ISO27018:2014, ISO29151:2017 και TRUSTe.
Σε απάντηση σε αυτήν την ανάρτηση ιστολογίου, ο ερευνητής κυβερνοασφάλειας Andrew Tierney πήρε στο Twitter για να αντικρούσει τους ισχυρισμούς της Xiaomi. Δηλώνει ότι ο ίδιος και αρκετοί άλλοι επιβεβαίωσαν εκ νέου τα ευρήματα σε πολλές συσκευές — ότι «δεν υπάρχει αμφιβολία ότι το πρόγραμμα περιήγησης Mint στέλνει όρους αναζήτησης και URL ενώ σε κατάσταση ανώνυμης περιήγησης." Δηλώνει ότι ο κώδικας που δημοσίευσε η Xiaomi δεν αποδεικνύει ότι τα "τυχαία δημιουργημένα μοναδικά διακριτικά" της δεν μπορούν να συσχετιστούν με άτομα. Οι ερευνητές σημειώνουν ότι το UUID φαίνεται να διατήρηση σε όλες τις περιόδους περιήγησης και μόνο αλλάζει όταν εγκατασταθεί ξανά το πρόγραμμα περιήγησης. Το αν η Xiaomi αποθηκεύει τα δεδομένα μόνο στους δικούς της διακομιστές ή αλλού δεν ήταν επίσης σημείο διαμάχης για τον ερευνητή. Επιπλέον, ο ερευνητής δηλώνει ότι η Xiaomi δεν κατηγορήθηκε ότι έστειλε τα δεδομένα σε απομακρυσμένους διακομιστές μέσω ανασφαλών μεθόδων—κ. Ο Tierney σημειώνει ότι το ζήτημα που εξετάζεται είναι τα ίδια τα δεδομένα που υπάρχουν Απεσταλμένα.
Χαιρόμαστε που βλέπουμε τη Xiaomi να αντιμετωπίζει απευθείας αυτούς τους ισχυρισμούς, αλλά η εξήγηση δεν φαίνεται να ικανοποιεί τους ερευνητές σε αυτό το σημείο. Θα παρακολουθούμε αυτή την ιστορία για περαιτέρω εξελίξεις.
Ενημέρωση 2: Η Xiaomi θα προσφέρει την επιλογή εξαίρεσης στην επόμενη ενημέρωση του προγράμματος περιήγησης
Η Xiaomi έχει ενημερώσει το δικό της ανάρτηση να ανακοινώσει ότι η επόμενη ενημέρωση του Mint Browser και του Mi Browser θα περιλαμβάνει μια επιλογή σε κατάσταση ανώνυμης περιήγησης για να απενεργοποιήσετε τη "συγκεντρωτική" συλλογή δεδομένων. Οι ενημερώσεις λογισμικού θα υποβληθούν στο Google Play Store για έγκριση σήμερα και θα είναι διαθέσιμες στους χρήστες πολύ σύντομα.
Μένει να δούμε αν αυτή η συλλογή δεδομένων θα παραμείνει ενεργοποιημένη από προεπιλογή στην κατάσταση ανώνυμης περιήγησης ή όχι. Ελπίζουμε να μην είναι. Ωστόσο, η δυνατότητα εξαίρεσης λειτουργεί για την αντιμετώπιση ορισμένων ανησυχιών σχετικά με το απόρρητο.
Ενημέρωση 3: Η Xiaomi ενημερώνει το πρόγραμμα περιήγησης Mi και το πρόγραμμα περιήγησης Mint για να διευκρινίσει την εναλλαγή συλλογής δεδομένων ανώνυμης περιήγησης
Ενώ η Xiaomi αντιμετώπισε τα προβλήματα απορρήτου με μια νέα εναλλαγή ρυθμίσεων, αυτό που στην πραγματικότητα συνέβη ήταν ότι η γλώσσα που χρησιμοποιήθηκε για την εναλλαγή ήταν παραπλανητική, επιτυγχάνοντας το αντίθετο από αυτό που γράφτηκε. Οπως και Android Authority επισημαίνει, ο "βελτιωμένη κατάσταση ανώνυμης περιήγησης" toggle είπε: "Τα συγκεντρωτικά στατιστικά δεδομένα δεν θα μεταφορτωθούν όταν είναι ενεργοποιημένη η κατάσταση ανώνυμης περιήγησης”, πράγμα που οδήγησε τους χρήστες να πιστέψουν ότι η αναστροφή της εναλλαγής θα έκανε αυτή τη δήλωση αληθινή. Δεν ήταν όμως έτσι. Η διατύπωση αντικατοπτρίζει την τρέχουσα κατάσταση της εναλλαγής και δεν ήταν αληθής/λάθος δήλωση που αλλάζετε γυρίζοντας το διακόπτη.
Παλιά συμπεριφορά
Τώρα, η Xiaomi έχει ενημερώσει το Mi Browser και το Mint Browser για να έχει καλύτερη γλώσσα σε αυτήν την εναλλαγή. Η εναλλαγή τώρα ονομάζεται "Βοηθήστε μας να βελτιώσουμε το πρόγραμμα περιήγησης Mi/Mint", και το συνοδευτικό κείμενο λέει "Ενεργοποιήστε για να μοιραστείτε μαζί μας στατιστικά στοιχεία χρήσης όταν είναι ενεργοποιημένη η κατάσταση ανώνυμης περιήγησης", με το κείμενο να παραμένει ίδιο όταν γυρίζετε τον διακόπτη. Αυτό είναι πολύ πιο ξεκάθαρο για τον σκοπό και την ενεργή κατάσταση της ρύθμισης.
Νέα συμπεριφορά
Και στις δύο εκδόσεις, η εναλλαγή πρέπει να είναι σε κατάσταση απενεργοποίησης, εάν δεν θέλετε να συλλέγονται τα δεδομένα σας σε κατάσταση ανώνυμης περιήγησης. Είναι απλώς το κείμενο που αλλάζει για να αντικατοπτρίζει καλύτερα την κατάσταση. Η νέα ενημέρωση και στα δύο προγράμματα περιήγησης προωθείται στο Google Play Store.