शोधकर्ताओं ने Xiaomi वेब ब्राउज़र पर ब्राउज़िंग डेटा एकत्र करने का आरोप लगाया है

साइबर सुरक्षा शोधकर्ताओं को इस बात के सबूत मिले हैं कि Xiaomi के ब्राउज़र गुप्त मोड में भी ब्राउज़िंग डेटा जानकारी एकत्र कर रहे हैं। अधिक जानने के लिए पढ़े!

अपडेट 3 (05/21/2020 @ 01:48 पूर्वाह्न ईटी): पिछले भ्रम को दूर करते हुए, Xiaomi ने अपनी ब्राउज़र सेटिंग्स को उनके उद्देश्य में स्पष्ट करने के लिए अपडेट किया है।

अपडेट 2 (05/03/2020 @ 10:14 पूर्वाह्न ईटी): अपने ब्लॉग पोस्ट अपडेट में, Xiaomi ने उल्लेख किया है कि उसके ब्राउज़र को उपयोगकर्ताओं को गुप्त मोड में ट्रैकिंग से ऑप्ट-आउट करने की अनुमति देने के विकल्प के साथ अपडेट किया जाएगा।

अपडेट 1 (05/01/2020 @ 03:36 अपराह्न ईएसटी): Xiaomi ने इन आरोपों के जवाब में एक ब्लॉग पोस्ट प्रकाशित किया है। अपडेट के लिए नीचे स्क्रॉल करें. मूल कहानी, जैसा कि 1 मई, 2020 को सुबह 06:18 बजे ईएसटी पर प्रकाशित हुई, इस प्रकार है।

Xiaomi स्मार्टफ़ोन किसी भी समय बाज़ार में उपलब्ध सर्वोत्तम मूल्य वाली खरीदारी में से एक होने पर सर्वसम्मति से सहमत हैं। कुछ पैक कर रहा हूँ पागल हार्डवेयर कुछ बहुत ही आकर्षक मूल्य बिंदुओं पर, खासकर स्मार्टफोन बाजार के निचले स्तर पर, ये फ़ोन एक ऐसा प्रस्ताव देते हैं जिसे बहुत से लोग अस्वीकार नहीं कर सकते। जैसे निर्णयों के साथ Xiaomi डेवलपर समुदाय की जरूरतों के प्रति भी ग्रहणशील रहा है

निर्माता की वारंटी से समझौता किए बिना बूटलोडर को अनलॉक करने की अनुमति देना - एक संयोजन जिसे कई अन्य लोकप्रिय ओईएम त्याग देते हैं, साथ ही उनमें काफी सुधार भी करते हैं कर्नेल स्रोत रिलीज़. ये कारण उन्हें हमारे मंचों पर सबसे लोकप्रिय उपकरणों में से एक बनाते हैं, और उन्होंने उचित रूप से लोकप्रियता का वह स्थान अर्जित किया है।

हालाँकि, सुरक्षा शोधकर्ताओं की हालिया रिपोर्ट Xiaomi के वेब ब्राउज़र पर देखी गई चिंताजनक गोपनीयता समस्या की ओर इशारा करती है। फोर्ब्स के साइबर सुरक्षा योगदानकर्ता और सहयोगी संपादक थॉमस ब्रूस्टर, साइबर सुरक्षा शोधकर्ताओं के साथ गेब्रियल सिर्लिग और एंड्रयू टियरनी हाल ही में एक रिपोर्ट में यह निष्कर्ष निकाला गया कि Xiaomi के विभिन्न वेब ब्राउज़र रिमोट सर्वर पर डेटा भेज रहे थे। उनका आरोप है कि भेजे जा रहे डेटा में यूआरएल सहित देखी गई सभी वेबसाइटों का इतिहास शामिल है। सभी खोज इंजन क्वेरीज़, और डिवाइस के साथ Xiaomi के समाचार फ़ीड पर देखे गए सभी आइटम मेटाडेटा. डेटा संग्रह के इस आरोप के बारे में चिंता की बात यह है कि यह डेटा तब भी एकत्र किया जा रहा है, जब आप "गुप्त मोड" सक्षम होने पर भी ब्राउज़ कर रहे हों।

ऐसा प्रतीत होता है कि यह डेटा संग्रह MIUI पर पहले से इंस्टॉल किए गए स्टॉक ब्राउज़र पर भी होता है एमआई ब्राउज़र प्रो और मिंट ब्राउज़र, ये दोनों Google Play Store के माध्यम से डाउनलोड के लिए उपलब्ध हैं। कुल मिलाकर, इन ब्राउज़रों के प्ले स्टोर पर 15 मिलियन से अधिक डाउनलोड हैं, जबकि स्टॉक ब्राउज़र सभी Xiaomi उपकरणों पर प्रीलोडेड है। परीक्षण किए गए उपकरणों में Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 और Xiaomi Mi Mix 3 शामिल हैं। Xiaomi के Android One या MIUI डिवाइसों के बीच कोई अंतर नहीं था, क्योंकि संग्रह कोड वैसे भी डिफ़ॉल्ट ब्राउज़र में पाया गया था। इस प्रकार, यह समस्या MIUI-केंद्रित प्रतीत नहीं होती है, लेकिन यह इस पर निर्भर करता है कि अंतर्निहित ओएस के बावजूद, आप अपने डिवाइस पर इन तीन ब्राउज़रों में से किसी का उपयोग करते हैं या नहीं। Google Chrome और Apple Safari जैसे अन्य ब्राउज़र बहुत कम डेटा एकत्र करते हैं, खुद को उपयोग और क्रैश एनालिटिक्स तक ही सीमित रखते हैं।

Xiaomi ने इस बात की पुष्टि करते हुए जवाब दिया कि वह जो ब्राउज़िंग डेटा एकत्र कर रहा था वह उपयोगकर्ता डेटा गोपनीयता मामलों पर स्थानीय कानूनों और विनियमों का पूरी तरह से अनुपालन करता था। एकत्र की गई जानकारी उपयोगकर्ता की सहमति और गुमनाम थी। हालांकि, कंपनी ने रिसर्च में दावों का खंडन किया है।

शोध के दावे झूठे हैं। गोपनीयता और सुरक्षा सर्वोच्च चिंता का विषय है।

यह वीडियो गुमनाम ब्राउज़िंग डेटा का संग्रह दिखाता है, जो कि अपनाए जाने वाले सबसे आम समाधानों में से एक है इंटरनेट कंपनियाँ गैर-व्यक्तिगत पहचान योग्य विश्लेषण के माध्यम से समग्र ब्राउज़र उत्पाद अनुभव को बेहतर बनाएंगी जानकारी।

हालाँकि, शोधकर्ताओं ने गुमनामी के इस दावे को संदिग्ध पाया। Xiaomi जो डेटा भेज रहा था वह बेशक "एन्क्रिप्टेड" था, लेकिन इसे बेस 64 में एनकोड किया गया था, जिसे आसानी से डिकोड किया जा सकता है। चूँकि ब्राउज़िंग डेटा हो सकता है काफी मामूली तरीके से डिकोड किया गया, और चूंकि एकत्रित डेटा में डिवाइस मेटाडेटा भी शामिल था, इसलिए यह ब्राउज़िंग डेटा बिना किसी महत्वपूर्ण प्रयास के व्यक्तिगत उपयोगकर्ताओं के कार्यों से संबंधित हो सकता है।

इसके अलावा, शोधकर्ताओं ने पाया कि Xiaomi ब्राउज़र सेंसर से संबंधित डोमेन को पिंग कर रहे थे एनालिटिक्स, एक चीनी स्टार्टअप जिसे सेंसर्स डेटा के नाम से भी जाना जाता है, व्यवहार संबंधी विश्लेषण प्रदान करने के लिए जाना जाता है सेवाएँ। ब्राउज़र में SensorDataAPI नामक एक API भी शामिल था। Xiaomi को भी ग्राहक के रूप में सूचीबद्ध किया गया है सेंसर डेटा वेबसाइट.

Xiaomi ने कई पहलुओं पर खंडन के साथ फोर्ब्स की रिपोर्ट का जवाब दिया है:

जबकि सेंसर्स एनालिटिक्स Xiaomi के लिए डेटा विश्लेषण समाधान प्रदान करता है, एकत्रित अज्ञात डेटा हैं Xiaomi के स्वयं के सर्वर पर संग्रहीत और सेंसर एनालिटिक्स, या किसी अन्य तृतीय-पक्ष के साथ साझा नहीं किया जाएगा कंपनियां.

शोधकर्ताओं ने Xiaomi के इनकार के ख़िलाफ़ प्रतिक्रिया दी और ज्यादा सबूत उनके डेटा संग्रह अभ्यास का.

उपलब्ध जानकारी से, इन ब्राउज़रों के कार्य करने के तरीके में गोपनीयता का एक चिंताजनक मुद्दा प्रतीत होता है। हमने इन दावों पर आगे की टिप्पणी के लिए Xiaomi से संपर्क किया है।

स्रोत: फोर्ब्स

अपडेट 1: Xiaomi ने ब्लॉग पोस्ट में जवाब दिया

एक में आधिकारिक ब्लॉग पोस्ट Mi.com पर, Xiaomi ने इन आरोपों का दृढ़ता से खंडन किया कि वे उपयोगकर्ता की गोपनीयता का उल्लंघन कर रहे हैं।

“Xiaomi फोर्ब्स के हालिया लेख को पढ़कर निराश थी। हमें लगता है कि हमने अपने डेटा गोपनीयता सिद्धांतों और नीति के संबंध में जो कुछ भी बताया था, उसे उन्होंने गलत समझा है। हमारे उपयोगकर्ता की गोपनीयता और इंटरनेट सुरक्षा Xiaomi में सर्वोच्च प्राथमिकता है; हमें विश्वास है कि हम स्थानीय कानूनों और विनियमों का सख्ती से पालन करते हैं और उनका पूरी तरह अनुपालन करते हैं। हमने इस दुर्भाग्यपूर्ण गलत व्याख्या पर स्पष्टता प्रदान करने के लिए फोर्ब्स से संपर्क किया है।

कंपनी पुष्टि करती है कि वे "एकत्रित उपयोग आँकड़े डेटा" एकत्र करते हैं, जिसमें "सिस्टम जानकारी, प्राथमिकताएँ, उपयोगकर्ता इंटरफ़ेस सुविधा उपयोग" शामिल हैं। प्रतिक्रिया, प्रदर्शन, मेमोरी उपयोग और क्रैश रिपोर्ट।" वे कहते हैं कि यह जानकारी "किसी भी व्यक्ति की पहचान करने के लिए अकेले इस्तेमाल नहीं की जा सकती।" वे पुष्टि करते हैं यूआरएल एकत्र किए जाते हैं, लेकिन यह "उन वेब पेजों की पहचान करने के लिए किया जाता है जो धीरे-धीरे लोड होते हैं" ताकि वे यह पता लगा सकें कि "समग्र ब्राउज़िंग को सर्वोत्तम तरीके से कैसे बेहतर बनाया जाए" प्रदर्शन।"

इसके बाद, कंपनी का कहना है कि व्यक्तिगत ब्राउज़िंग डेटा इतिहास सिंक किया गया है, लेकिन यह केवल तभी किया जाता है जब "उपयोगकर्ता Mi खाते पर हस्ताक्षरित हो... और डेटा सिंक फ़ंक्शन सेट हो सेटिंग्स के अंतर्गत 'चालू' करने के लिए।" वे इस बात से इनकार करते हैं कि उपरोक्त समग्र उपयोग सांख्यिकी डेटा के अलावा, ब्राउज़िंग डेटा तब सिंक किया जा रहा है जब उपयोगकर्ता ने गुप्त मोड सक्षम किया है।

इसके बाद Xiaomi ने अपने एक ब्राउज़र ऐप से कोड स्निपेट्स के स्क्रीनशॉट प्रकाशित किए (हालांकि उन्होंने यह निर्दिष्ट नहीं किया कि कौन सा ब्राउज़र) उनका दावा है कि यह उनकी बातों को प्रदर्शित करता है। Xiaomi के अनुसार, पहला कोड स्निपेट, "कैसे [वे] समग्र उपयोग आंकड़ों में जोड़ने के लिए यादृच्छिक रूप से उत्पन्न अद्वितीय टोकन बनाते हैं" के लिए एक विघटित विधि दिखाता है। वे कहते हैं कि "ये टोकन किसी भी व्यक्ति से मेल नहीं खाते हैं।" अगला कोड स्निपेट ब्राउज़र के स्रोत कोड से प्रतीत होता है और "Mi ब्राउज़र गुप्त मोड के तहत कैसे काम करता है, जहां कोई नहीं" के लिए एक विधि दिखाता है उपयोगकर्ता ब्राउज़िंग डेटा सिंक किया जाएगा।" तीसरा कोड स्निपेट दर्शाता है कि Xiaomi द्वारा एकत्र किए गए समग्र उपयोग के आँकड़े "Xiaomi के डोमेन पर संग्रहीत" हैं और सेंसर को पास नहीं किए गए हैं विश्लेषिकी। अंत में, चौथी छवि "दिखाती है कि उपयोग आँकड़ा डेटा टीएलएस 1.2 एन्क्रिप्शन के HTTPS प्रोटोकॉल के साथ स्थानांतरित किया जाता है।"

इसे ख़त्म करने के लिए, Xiaomi ने अपने सॉफ़्टवेयर को TrustArc और ब्रिटिश स्टैंडर्ड इंस्टीट्यूशन (BSI) से प्राप्त 4 प्रमाणपत्रों का हवाला दिया है। इन प्रमाणपत्रों में ISO27001:2013, ISO27018:2014, ISO29151:2017, और TRUSTe शामिल हैं।

इस ब्लॉग पोस्ट के जवाब में, साइबर सुरक्षा शोधकर्ता एंड्रयू टियरनी ट्विटर पर ले जाया गया Xiaomi के दावों का खंडन करने के लिए। उनका कहना है कि उन्होंने और कई अन्य लोगों ने कई डिवाइसों पर निष्कर्षों की दोबारा पुष्टि की है - कि "इसमें कोई संदेह नहीं है कि मिंट ब्राउज़र खोज शब्द और यूआरएल भेजता है। गुप्त मोड में।" उनका कहना है कि Xiaomi द्वारा प्रकाशित कोड यह प्रदर्शित नहीं करता है कि उनके "बेतरतीब ढंग से उत्पन्न अद्वितीय टोकन" व्यक्तियों से संबंधित नहीं हो सकते हैं। शोधकर्ताओं ने ध्यान दिया कि यूयूआईडी लगता है ब्राउज़िंग सत्रों में बनी रहती है और केवल परिवर्तन जब ब्राउज़र पुनः इंस्टॉल किया जाता है. क्या Xiaomi केवल अपने सर्वर पर या कहीं और डेटा संग्रहीत करता है, यह शोधकर्ता के लिए भी विवाद का विषय नहीं था। इसके अलावा, शोधकर्ता का कहना है कि Xiaomi पर रिमोट सर्वर पर डेटा भेजने का आरोप नहीं लगाया गया था असुरक्षित तरीकों से—श्रीमान. टियरनी का मानना ​​है कि मुद्दा डेटा का ही है भेजा गया।

हमें यह देखकर खुशी हुई कि Xiaomi ने इन आरोपों को सीधे तौर पर संबोधित किया है, लेकिन यह स्पष्टीकरण इस बिंदु पर शोधकर्ताओं को संतुष्ट नहीं करता है। हम आगे के घटनाक्रम के लिए इस कहानी पर नज़र रखेंगे।


अपडेट 2: Xiaomi अगले ब्राउज़र अपडेट में ऑप्ट-आउट विकल्प पेश करेगा

Xiaomi ने इसे अपडेट कर दिया है ब्लॉग भेजा यह घोषणा करने के लिए कि मिंट ब्राउज़र और एमआई ब्राउज़र के अगले अपडेट में "एकत्रित" डेटा संग्रह को बंद करने के लिए गुप्त मोड में एक विकल्प शामिल होगा। सॉफ़्टवेयर अपडेट आज ही Google Play Store पर अनुमोदन के लिए प्रस्तुत किए जाएंगे और बहुत जल्द उपयोगकर्ताओं के लिए उपलब्ध होंगे।

यह देखना बाकी है कि क्या यह डेटा संग्रह गुप्त मोड में डिफ़ॉल्ट रूप से सक्षम रहेगा या नहीं। हमें उम्मीद है कि ऐसा नहीं है. फिर भी, कुछ गोपनीयता चिंताओं को दूर करने के लिए ऑप्ट-आउट करने का विकल्प काम करता है।


अपडेट 3: Xiaomi अपने गुप्त डेटा संग्रह टॉगल को स्पष्ट करने के लिए अपने Mi ब्राउज़र और मिंट ब्राउज़र को अपडेट कर रहा है

हालाँकि Xiaomi ने नई सेटिंग्स टॉगल के साथ गोपनीयता संबंधी चिंताओं को संबोधित किया था, लेकिन वास्तव में जो हुआ वह यह था कि टॉगल के लिए इस्तेमाल की गई भाषा भ्रामक थी, जो लिखा गया था उसके विपरीत था। जैसा एंड्रॉइड अथॉरिटी बताता है, “उन्नत गुप्त मोड"टॉगल ने कहा:"गुप्त मोड चालू होने पर एकत्रित डेटा आँकड़े अपलोड नहीं किए जाएंगे”, जिससे उपयोगकर्ताओं को विश्वास हो गया कि टॉगल को चालू करने से यह कथन सत्य हो जाएगा। लेकिन यह मामला नहीं था। शब्दांकन टॉगल की वर्तमान स्थिति को दर्शाता है, और यह कोई सही/गलत कथन नहीं है जिसे आप स्विच फ़्लिप करके बदलते हैं।

पुराना व्यवहार

अब, Xiaomi ने इस टॉगल पर बेहतर भाषा के लिए Mi ब्राउज़र और मिंट ब्राउज़र को अपडेट किया है। टॉगल को अब "कहा जाता है"एमआई/मिंट ब्राउज़र को बेहतर बनाने में हमारी सहायता करें", और संलग्न पाठ कहता है "गुप्त मोड चालू होने पर हमारे साथ उपयोग आँकड़े साझा करने के लिए चालू करें", जब आप स्विच फ्लिप करते हैं तो टेक्स्ट वही रहता है। यह सेटिंग के उद्देश्य और सक्रिय स्थिति के बारे में अधिक स्पष्ट है।

नया व्यवहार

यदि आप चाहते हैं कि आपका डेटा गुप्त मोड में एकत्र न हो, तो दोनों संस्करणों में टॉगल को ऑफ स्थिति में होना चाहिए। यह केवल पाठ है जो स्थिति को बेहतर ढंग से प्रतिबिंबित करने के लिए बदल रहा है। दोनों ब्राउज़रों के लिए नया अपडेट Google Play Store पर भेजा जा रहा है।