Kyberturvallisuustutkijat ovat löytäneet todisteita siitä, että Xiaomin selaimet ovat keränneet selaustietoja jopa incognito-tilassa. Lue lisää saadaksesi lisätietoja!
Päivitys 3 (21.5.2020 klo 01.48 ET): Xiaomi on päivittänyt selaimensa asetuksia selvemmäksi niiden tarkoitusta poistaen aiemmat sekaannukset.
Päivitys 2 (5.3.2020 klo 10.14 ET): Xiaomi on maininnut blogipäivityksessään, että sen selaimet päivitetään vaihtoehdolla, jonka avulla käyttäjät voivat kieltäytyä seurannasta incognito-tilassa.
Päivitys 1 (01.5.2020 klo 15.36 EST): Xiaomi on julkaissut blogikirjoituksen vastauksena näihin väitteisiin. Vieritä alas nähdäksesi päivityksen. Alkuperäinen tarina, joka on julkaistu 1. toukokuuta 2020 klo 06:18 EST, on seuraava.
Xiaomi-älypuhelimet on yksimielisesti sovittu olevan yksi markkinoiden parhaista hinta-laatusuhteeltaan saatavilla olevista ostoksista milloin tahansa. Pakkaa vähän hullu laitteisto joissakin erittäin tuottoisissa hintapisteissä, erityisesti älypuhelinmarkkinoiden alimmassa päässä
Tietoturvatutkijoiden viimeaikaiset raportit viittaavat kuitenkin huolestuttavaan tietosuojaongelmaan, joka on havaittu Xiaomin verkkoselaimissa. Forbesin kyberturvallisuusavustaja ja apulaistoimittaja Thomas Brewster, yhdessä kyberturvallisuustutkijoiden kanssa Gabriel Cirlig ja Andrew Tierney äskettäin totesi raportissa että Xiaomin eri verkkoselaimet lähettivät tietoja etäpalvelimille. He väittävät, että lähetettävät tiedot sisälsivät historian kaikista vierailluista verkkosivustoista, mukaan lukien URL-osoitteet, kaikki hakukonekyselyt ja kaikki Xiaomin uutissyötteessä katsotut kohteet sekä laite metatiedot. Jopa huolestuttavaa tässä tiedonkeruuväitteessä on se, että näitä tietoja kerätään, vaikka näennäisesti selaat "incognito-tilan" ollessa käytössä.
Tämä tiedonkeruu ilmeisesti tapahtuu MIUI: n esiasennetussa osakeselaimessa sekä Mi Browser Pro ja Mint-selain, jotka molemmat ovat ladattavissa Google Play Kaupasta. Näillä selaimilla on yhteensä yli 15 miljoonaa latausta Play Kaupassa, kun taas varastoselain on esiladattu kaikkiin Xiaomi-laitteisiin. Testattuja laitteita ovat Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 ja Xiaomi Mi Mix 3. Xiaomin Android One- tai MIUI-laitteiden välillä ei ollut eroa, sillä kokoelmakoodi löytyi joka tapauksessa oletusselaimesta. Sellaisenaan tämä ongelma ei näytä olevan MIUI-keskeinen, vaan riippuu siitä, käytätkö jotain näistä kolmesta selaimesta laitteellasi riippumatta taustalla olevasta käyttöjärjestelmästä. Muut selaimet, kuten Google Chrome ja Apple Safari, keräävät paljon vähemmän tietoja ja rajoittuvat käyttö- ja kaatumisanalytiikkaan.
Xiaomi vastasi näennäisesti vahvistamalla, että sen keräämät selaustiedot olivat täysin käyttäjien tietosuojaa koskevien paikallisten lakien ja määräysten mukaisia. Kerätyt tiedot olivat käyttäjien suostumuksia ja anonymisoituja. Yhtiö kuitenkin kiisti väitteet tutkimuksessa.
Tutkimusväitteet eivät pidä paikkaansa. Yksityisyys ja turvallisuus ovat etusijalla.
Tämä video näyttää anonyymien selaustietojen keräämisen, joka on yksi yleisimmistä ratkaisuista Internet-yritykset parantamaan yleistä selaintuotteen käyttökokemusta analysoimalla ei-henkilökohtaisia tunnisteita tiedot.
Tutkijat pitivät tätä nimettömyyttä koskevaa väitettä kuitenkin kyseenalaisena. Xiaomin lähettämä data oli tosin "salattu", mutta se oli koodattu base64:ään, joka voidaan helposti purkaa. Koska selaustiedot voivat olla dekoodataan melko triviaalilla tavalla, ja koska kerätyt tiedot sisälsivät myös laitteen metatietoja, nämä selaustiedot saattoivat ilmeisesti korreloida yksittäisten käyttäjien toimiin ilman merkittävää vaivaa.
Lisäksi tutkijat havaitsivat, että Xiaomi-selaimet pingivat antureisiin liittyviä verkkotunnuksia Analytics, kiinalainen startup, joka tunnetaan myös nimellä Sensors Data ja joka tunnetaan käyttäytymisanalytiikan tarjoajana palvelut. Selaimet sisälsivät myös API: n nimeltä SensorDataAPI. Xiaomi on myös listattu asiakkaana Sensors Data -sivusto.
Xiaomi on vastannut Forbesin raporttiin kiistäen useita näkökohtia:
Sensors Analytics tarjoaa data-analyysiratkaisun Xiaomille, mutta kerätyt anonyymit tiedot ovat tallennettu Xiaomin omille palvelimille, eikä niitä jaeta Sensors Analyticsin tai minkään muun kolmannen osapuolen kanssa yritykset.
Tutkijat vastasivat Xiaomin kieltämistä vastaan lisätodisteita tiedonkeruukäytännöstään.
Käytettävissä olevien tietojen perusteella näyttää siltä, että näiden selainten toiminnassa on huolestuttava tietosuojaongelma. Olemme ottaneet yhteyttä Xiaomiin saadaksemme lisäkommentteja näihin väitteisiin.
Lähde: Forbes
Päivitys 1: Xiaomi vastaa blogiviestissä
Vuonna an virallinen blogikirjoitus Mi.com-sivustolla Xiaomi kiisti jyrkästi syytökset siitä, että he loukkasivat käyttäjien yksityisyyttä.
"Xiaomi oli pettynyt luettuaan Forbesin äskettäisen artikkelin. Mielestämme he ovat ymmärtäneet väärin sen, mitä tiedotimme tietosuojaperiaatteistamme ja -käytännöstämme. Käyttäjiemme yksityisyys ja Internet-tietoturva ovat Xiaomin etusijalla; olemme varmoja, että noudatamme tarkasti paikallisia lakeja ja määräyksiä ja noudatamme niitä. Olemme ottaneet yhteyttä Forbesiin selventääksemme tätä valitettavaa väärintulkintaa."
Yhtiö vahvistaa keräävänsä "koottuja käyttötilastotietoja", jotka sisältävät "järjestelmätiedot, asetukset, käyttöliittymän ominaisuuksien käytön, reagointikyky, suorituskyky, muistin käyttö ja virheraportit." He toteavat, että näitä tietoja "ei yksinään voida käyttää kenenkään yksilön tunnistamiseen." He vahvistavat että URL-osoitteita kerätään, mutta että tämä tehdään "hitaasti latautuvien verkkosivujen tunnistamiseksi", jotta he voivat selvittää, "miten parhaiten parantaa yleistä selaamista esitys."
Seuraavaksi yritys ilmoittaa, että yksittäiset selaustietohistoriat synkronoidaan, mutta tämä tehdään vain, kun "käyttäjä on kirjautunut Mi-tilille... ja tietojen synkronointitoiminto on asetettu "Päällä" Asetukset-kohdassa." He kiistävät, että selaustiedot, edellä mainittujen koottujen käyttötilastotietojen lisäksi, synkronoidaan, kun käyttäjä on ottanut incognito-tilan käyttöön.
Xiaomi julkaisi sitten kuvakaappauksia koodinpätkistä yhdestä selainsovelluksestaan (he eivät kuitenkaan määrittäneet, mikä selain), jotka he väittävät osoittavan näkemyksensä. Ensimmäinen koodinpätkä Xiaomin mukaan näyttää puretun menetelmän "miten [he] luovat satunnaisesti luotuja ainutlaatuisia tunnuksia liitettäväksi yhteenlaskettuun käyttötilastoon". He väittävät, että "nämä tunnukset eivät vastaa mitään yksilöitä." Seuraava koodinpätkä on ilmeisesti selaimen lähdekoodista ja näyttää menetelmän "miten Mi-selain toimii incognito-tilassa, jossa ei käyttäjien selaustiedot synkronoidaan." Kolmas koodinpätkä osoittaa, että Xiaomin keräämät aggregoidut käyttötilastot "tallennettu Xiaomin verkkotunnukselle" eikä niitä välitetä anturille Analytics. Lopuksi neljäs kuva "osoittaa, että käyttötilastotiedot siirretään HTTPS-protokollalla TLS 1.2 -salauksella."
Tämän jälkeen Xiaomi mainitsee neljä sertifikaattia, jotka heidän ohjelmistonsa ovat saaneet TrustArcilta ja British Standard Institutionilta (BSI). Näitä sertifikaatteja ovat ISO27001:2013, ISO27018:2014, ISO29151:2017 ja TRUSTe.
Vastauksena tähän blogikirjoitukseen kyberturvallisuuden tutkija Andrew Tierney otti Twitteriin kumota Xiaomin väitteet. Hän toteaa, että hän ja useat muut vahvistivat havainnot useissa laitteissa – "ei ole epäilystäkään siitä, että Mint-selain lähettää hakutermejä ja URL-osoitteita samalla, kun incognito-tilassa." Hän toteaa, että Xiaomin julkaisema koodi ei osoita, että heidän "satunnaisesti luotuja ainutlaatuisia tunnuksiaan" ei voida korreloida yksilöiden kanssa. Tutkijat huomauttavat, että UUID näyttää siltä jatkuvat selausistuntojen ajan ja vain muutoksia kun selain asennetaan uudelleen. Se, tallentaako Xiaomi tiedot vain omille palvelimilleen vai muualle, ei ollut tutkijankaan kiistanalainen. Lisäksi tutkija toteaa, että Xiaomia ei syytetty tietojen lähettämisestä etäpalvelimille turvattomilla menetelmillä – Mr. Tierney huomauttaa, että käsillä oleva ongelma on itse tiedot, joita ollaan lähetetty.
Olemme iloisia nähdessämme Xiaomin käsittelevän nämä väitteet suoraan, mutta selitys ei näytä tyydyttävän tutkijoita tässä vaiheessa. Jäämme seuraamaan tätä tarinaa jatkokehityksen varalta.
Päivitys 2: Xiaomi tarjoaa opt-out-vaihtoehdon seuraavassa selainpäivityksessä
Xiaomi on päivittänyt sen blogipostaus ilmoittaa, että Mint Browserin ja Mi Browserin seuraava päivitys sisältää incognito-tilan vaihtoehdon, jolla "koostettujen" tietojen kerääminen voidaan kytkeä pois päältä. Ohjelmistopäivitykset lähetetään Google Play Kauppaan hyväksyttäväksi tänään, ja niiden pitäisi olla käyttäjien saatavilla melko pian.
Nähtäväksi jää, pysyykö tämä tiedonkeruu oletuksena käytössä incognito-tilassa vai ei. Toivomme, että ei ole. Kieltäytymismahdollisuus ratkaisee kuitenkin joitain tietosuojaongelmia.
Päivitys 3: Xiaomi päivittää Mi-selaimen ja Mint-selaimen selventääkseen incognito-tiedonkeruun kytkintä
Vaikka Xiaomi ratkaisi tietosuojaongelmat uudella asetuskytkimellä, todellisuudessa tapahtui, että vaihdossa käytetty kieli oli harhaanjohtavaa, mikä saavutti päinvastaisen kuin kirjoitettiin. Kuten Android Authority huomauttaa, "parannettu incognito-tila"toggle sanoi: "Koottuja datatilastoja ei ladata, kun incognito-tila on käytössä”, mikä sai käyttäjät uskomaan, että kytkimen kääntäminen päälle tekisi tämän väitteen totta. Mutta näin ei ollut. Sanamuoto heijasti kytkimen nykyistä tilaa, eikä se ollut tosi/epätosi väite, jota muutat kääntämällä kytkintä.
Vanha käytös
Nyt Xiaomi on päivittänyt Mi-selaimen ja Mint-selaimen saadakseen paremman kielen tälle kytkimelle. Kytkimen nimi on nyt "Auta meitä parantamaan Mi/Mint-selainta", ja mukana oleva teksti sanoo"Ota käyttöön, jos haluat jakaa käyttötilastot kanssamme, kun incognito-tila on päällä", teksti pysyy samana, kun käännät kytkintä. Tämä on paljon selkeämpi tarkoituksen ja asetuksen aktiivisen tilan kannalta.
Uusi käytös
Molemmissa versioissa kytkimen on oltava pois päältä, jos et halua, että tietojasi ei kerätä incognito-tilassa. Se on vain teksti, joka muuttuu kuvastamaan paremmin tilaa. Molempien selainten uusi päivitys viedään Google Play Kauppaan.