Küberjulgeoleku teadlased on leidnud tõendeid selle kohta, et Xiaomi brauserid on kogunud sirvimisandmeid isegi inkognito režiimis. Loe edasi, et rohkem teada saada!
Värskendus 3 (21.05.2020 kell 01:48 ET): Xiaomi on värskendanud oma brauseri seadeid, et muuta nende eesmärk selgemaks, kõrvaldades varasemad segadused.
Värskendus 2 (05/03/2020 kell 10:14 ET): Xiaomi on oma ajaveebi postituse värskenduses maininud, et tema brausereid värskendatakse valikuga, mis võimaldab kasutajatel inkognito režiimis jälgimisest loobuda.
Värskendus 1 (01.05.2020 kell 15:36 EST): Xiaomi on nendele väidetele vastuseks avaldanud blogipostituse. Värskenduse vaatamiseks kerige alla. Algne lugu, mis avaldati 1. mail 2020 kell 06:18 EST, on järgmine.
Xiaomi nutitelefonid on üksmeelselt nõus olema üks parima hinnaga oste, mis turul igal ajahetkel saadaval on. Mõne pakkimine meeletu riistvara mõnes väga tulusas hinnapunktis, eriti nutitelefonide turu alumises otsas, teevad need telefonid pakkumise, millest paljud lihtsalt ei suuda keelduda. Xiaomi on olnud vastuvõtlik ka arendajate kogukonna vajadustele, tehes selliseid otsuseid nagu
võimaldab alglaaduri avamist ilma tootja garantiid ohverdamata -- kombinatsioon, millest paljud teised populaarsed originaalseadmete tootjad loobuvad ja mida märkimisväärselt täiustavad kerneli lähtekoodi väljalasked. Need põhjused muudavad need meie foorumites üheks populaarseimaks seadmeks ja nad on selle populaarsuse õigustatult teeninud.Turvauurijate hiljutised aruanded viitavad aga Xiaomi veebibrauserites täheldatud murettekitavale privaatsusprobleemile. Forbesi küberturvalisuse kaastöötaja ja kaastoimetaja Thomas Brewster, koos küberjulgeoleku teadlastega Gabriel Cirlig ja Andrew Tierney hiljuti järeldati aruandes et Xiaomi erinevad veebibrauserid saatsid andmeid kaugserveritesse. Nad väidavad, et saadetud andmed sisaldasid kõigi külastatud veebisaitide ajalugu, sealhulgas URL-e, kõik otsingumootori päringud ja kõik Xiaomi uudistevoos vaadatud üksused koos seadmega metaandmed. Selle andmete kogumise väite puhul teeb isegi murettekitavaks see, et neid andmeid kogutakse isegi siis, kui näiliselt sirvite "inkognito režiimiga" sisse lülitatud.
Näib, et see andmete kogumine toimub nii MIUI eelinstallitud aktsiabrauseris kui ka Mi Browser Pro ja Mint brauser, mis mõlemad on allalaadimiseks saadaval Google Play poe kaudu. Kokku on neid brausereid Play poes alla laaditud üle 15 miljoni, samas kui aktsiabrauser on eellaaditud kõikidesse Xiaomi seadmetesse. Testitud seadmete hulka kuuluvad Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 ja Xiaomi Mi Mix 3. Xiaomi Android One’i või MIUI seadmete vahel ei tehtud vahet, kuna kogumiskood leiti niikuinii vaikebrauserist. Sellisena ei tundu see probleem olevat MIUI-keskne, vaid sõltub sellest, kas kasutate oma seadmes mõnda neist kolmest brauserist, olenemata aluseks olevast operatsioonisüsteemist. Teised brauserid, nagu Google Chrome ja Apple Safari, koguvad palju vähem andmeid, piirdudes kasutus- ja krahhianalüütikaga.
Xiaomi vastas näiliselt kinnitades, et tema kogutavad sirvimisandmed on täielikult kooskõlas kohalike seaduste ja määrustega, mis käsitlevad kasutajaandmete privaatsust. Kogutud teave oli kasutaja nõusolekul ja anonüümseks muudetud. Ettevõte lükkas aga uuringus esitatud väited ümber.
Uuringu väited ei vasta tõele. Privaatsus ja turvalisus on esmatähtis.
See video näitab anonüümsete sirvimisandmete kogumist, mis on üks levinumaid lahendusi Interneti-ettevõtted, et parandada üldist brauseritoote kasutuskogemust, analüüsides isikut tuvastamatuid teavet.
Teadlased leidsid aga, et see anonüümsuse väide on kahtlane. Xiaomi saadetud andmed olid küll "krüpteeritud", kuid need kodeeriti base64-sse, mida saab hõlpsasti dekodeerida. Kuna sirvimisandmed võivad olla dekodeeritud üsna triviaalsel viisil, ja kuna kogutud andmed sisaldasid ka seadme metaandmeid, võivad need sirvimisandmed näiliselt olla seotud üksikute kasutajate tegevustega ilma märkimisväärse pingutuseta.
Lisaks leidsid teadlased, et Xiaomi brauserid pingivad anduritega seotud domeene Analytics, Hiina idufirma, tuntud ka kui Sensors Data ja mis on tuntud käitumisanalüütika pakkumise poolest teenuseid. Brauserid sisaldasid ka API-d nimega SensorDataAPI. Xiaomi on samuti loetletud kliendina Andurite andmete veebisait.
Xiaomi on Forbesi raportile vastanud mitme aspekti eitamisega:
Kui Sensors Analytics pakub Xiaomi jaoks andmeanalüüsi lahendust, siis kogutud anonüümsed andmed on seda salvestatakse Xiaomi enda serveritesse ja seda ei jagata Sensors Analyticsi ega ühegi teise kolmanda osapoolega ettevõtted.
Teadlased vastasid Xiaomi eitamisele sõnadega täiendavaid tõendeid andmete kogumise tavadest.
Käesoleva teabe põhjal tundub, et nende brauserite toimimises on murettekitav privaatsusprobleem. Oleme nende väidete kohta täiendavate kommentaaride saamiseks ühendust võtnud Xiaomiga.
Allikas: Forbes
Värskendus 1: Xiaomi vastab ajaveebi postituses
Aastal an ametlik ajaveebi postitus saidil Mi.com eitas Xiaomi kindlalt väiteid, et nad rikuvad kasutajate privaatsust.
"Xiaomi oli Forbesi hiljutist artiklit lugedes pettunud. Meile tundub, et nad on valesti aru saanud sellest, mida me seoses andmekaitsepõhimõtete ja -poliitikaga edastasime. Meie kasutaja privaatsus ja Interneti-turvalisus on Xiaomi jaoks esmatähtis; oleme kindlad, et järgime rangelt kohalikke seadusi ja eeskirju ning järgime neid täielikult. Oleme pöördunud Forbesi poole, et pakkuda selle kahetsusväärse väärtõlgenduse osas selgust.
Ettevõte kinnitab, et nad koguvad "koondkasutusstatistika andmeid", mis hõlmavad "süsteemiteavet, eelistusi, kasutajaliidese funktsioonide kasutamist, reageerimisvõime, jõudluse, mälukasutuse ja krahhiaruanded." Nad väidavad, et seda teavet "ei saa üksi kasutada ühegi isiku tuvastamiseks." Nad kinnitavad et URL-e kogutakse, kuid seda tehakse selleks, et "tuvastada veebilehti, mis laaditakse aeglaselt", et nad saaksid aru, "kuidas üldist sirvimist kõige paremini parandada esitus."
Järgmisena teatab ettevõte, et üksikute sirvimisandmete ajalugu sünkroonitakse, kuid seda tehakse ainult siis, kui "kasutaja on Mi-kontole sisse logitud ja andmete sünkroonimise funktsioon on seadistatud jaotises Seaded "Sees". Nad eitavad, et sirvimisandmeid, välja arvatud ülalnimetatud koondatud kasutusstatistika andmed, sünkroonitakse, kui kasutaja on inkognito režiimi lubanud.
Seejärel avaldas Xiaomi ekraanipildid ühest oma brauserirakendusest pärinevatest koodilõikudest (nad ei täpsustanud siiski, millist brauserit), mis nende väitel oma seisukohti demonstreerivad. Xiaomi sõnul näitab esimene koodilõik dekompileeritud meetodit selle kohta, "kuidas [nad] loovad juhuslikult genereeritud unikaalseid žetoone, mida lisada kogukasutusstatistikale". Nad väidavad, et "need märgid ei vasta ühelegi isikule." Järgmine koodilõik pärineb näiliselt brauseri lähtekoodist ja näitab meetodit, "kuidas Mi-brauser töötab inkognito režiimis, kus ei kasutaja sirvimisandmed sünkroonitakse." Kolmas koodilõik näitab, et koondkasutusstatistika, mida Xiaomi kogub, on "salvestatud Xiaomi domeenile" ja seda ei edastata andurile Analüütika. Lõpuks, neljas pilt "näitab, et kasutusstatistika andmed edastatakse TLS 1.2 krüptimisega HTTPS-protokolliga."
Selle kõige lõpetamiseks tsiteerib Xiaomi seejärel nelja sertifikaati, mille nende tarkvara on saanud TrustArcilt ja Briti Standardiasutuselt (BSI). Need sertifikaadid hõlmavad ISO27001:2013, ISO27018:2014, ISO29151:2017 ja TRUSTe.
Vastuseks sellele ajaveebi postitusele küberturvalisuse uurija Andrew Tierney võttis Twitterisse Xiaomi väidete ümberlükkamiseks. Ta kinnitab, et tema ja mitmed teised kinnitasid mitme seadme kohta tehtud järeldusi – "pole kahtlust, et Mint Browser saadab otsingutermineid ja URL-e, kui inkognito režiimis." Ta nendib, et Xiaomi avaldatud kood ei näita, et nende "juhuslikult loodud kordumatuid märke" ei saa üksikisikutega korreleerida. Teadlased märgivad, et UUID näib olevat püsib sirvimisseansside jooksul ja ainult muutub kui brauser on uuesti installitud. See, kas Xiaomi salvestab andmeid ainult enda serveritesse või mujale, ei tekitanud ka uurija jaoks vaidlusi. Lisaks väidab uurija, et Xiaomit ei süüdistatud andmete kaugserveritesse saatmises läbi ebaturvaliste meetodite — hr. Tierney märgib, et probleemiks on andmed ise saadetud.
Meil on hea meel näha, et Xiaomi käsitleb neid väiteid otse, kuid seletus ei tundu praegu teadlasi rahuldavat. Hoiame sellel lool edasiste arengute osas silma peal.
Värskendus 2: Xiaomi pakub järgmises brauseri värskenduses loobumisvõimalust
Xiaomi on oma värskendanud ajaveebi postitus teatada, et Mint Browseri ja Mi Browseri järgmine värskendus sisaldab inkognito režiimis valikut koondatud andmete kogumise väljalülitamiseks. Tarkvarauuendused esitatakse täna Google Play poodi kinnitamiseks ja need peaksid olema kasutajatele saadaval üsna pea.
Jääb näha, kas see andmete kogumine jääb inkognito režiimis vaikimisi lubatuks või mitte. Loodame, et ei ole. Siiski aitab loobumise võimalus lahendada mõningaid privaatsusprobleeme.
Värskendus 3: Xiaomi värskendab oma Mi-brauserit ja Mint-brauserit, et selgitada oma inkognito andmete kogumise lülitit
Kuigi Xiaomi lahendas privaatsusprobleemid uue seadete lülitiga, juhtus tegelikult see, et ümberlülitamiseks kasutatud keel oli eksitav, saavutades vastupidise sellele, mis oli kirjutatud. Nagu Androidi asutus juhib tähelepanu sellele, "täiustatud inkognito režiim"lüliti ütles: "Koondandmete statistikat ei laadita üles, kui inkognito režiim on sisse lülitatud”, mis pani kasutajad uskuma, et lüliti sisselülitamine muudab selle väite tõeks. Kuid see ei olnud nii. Sõnastus peegeldas lüliti praegust olekut ega olnud tõene/vale väide, mida muudate lüliti pööramisega.
Vana käitumine
Nüüd on Xiaomi värskendanud Mi-brauserit ja Mint-brauserit, et sellel lülitil oleks parem keel. Lülitit nimetatakse nüüd "Aidake meil Mi/Mint brauserit täiustada"ja saatetekst ütleb"Kui inkognito režiim on sisse lülitatud, lülitage see sisse, et jagada meiega kasutusstatistikat", mille tekst jääb lüliti pööramisel samaks. See on seadistuse eesmärgi ja aktiivse oleku jaoks palju selgem.
Uus käitumine
Mõlema versiooni puhul peab lüliti olema väljalülitatud olekus, kui te ei soovi, et teie andmeid inkognito režiimis kogutaks. Lihtsalt tekst muutub, et seisukorda paremini kajastada. Mõlema brauseri uus värskendus edastatakse Google Play poodi.