A kutatók azzal vádolják a Xiaomi webböngészőit, hogy böngészési adatokat gyűjtenek

A kiberbiztonsági kutatók bizonyítékokat találtak arra vonatkozóan, hogy a Xiaomi böngészői még inkognitó módban is gyűjtik a böngészési adatokat. Olvasson tovább, ha többet szeretne megtudni!

3. frissítés (2020.05.21., 01:48 ET): A Xiaomi frissítette a böngésző beállításait, hogy egyértelműbbé tegye a céljukat, megszüntetve a korábbi félreértéseket.

2. frissítés (2020.03.05., 10:14 ET): Blogbejegyzésében a Xiaomi megemlítette, hogy böngészői frissítve lesznek olyan opcióval, amely lehetővé teszi a felhasználók számára, hogy leiratkozhassanak a követésről inkognitó módban.

1. frissítés (2020.01.05., 15:36 EST): A Xiaomi blogbejegyzést tett közzé válaszul ezekre az állításokra. Görgessen le a frissítésért. Az eredeti történet, amelyet 2020. május 1-jén tették közzé, 06:18 EST, a következő.

A Xiaomi okostelefonok egyöntetűen egyetértettek abban, hogy az egyik legjobb ár-érték arányú vásárlás a piacon bármikor. Csomagolni néhányat őrült hardver néhány nagyon jövedelmező áron, különösen az okostelefonok piacának alsó végén

, ezek a telefonok olyan ajánlatot tesznek, amit sokan egyszerűen nem tudnak visszautasítani. A Xiaomi a fejlesztői közösség igényeire is fogékony volt, olyan döntésekkel, mint pl lehetővé teszi a rendszerbetöltő feloldását a gyártó garanciájának feláldozása nélkül -- egy olyan kombináció, amelyet sok más népszerű OEM-gyártó eldob, és jelentősen javítja a sajátjukat kernel forrás kiadások. Ezen okok miatt az egyik legnépszerűbb eszköz a fórumunkban, és joggal érdemelték ki ezt a népszerűségi helyet.

A biztonsági kutatók legújabb jelentései azonban a Xiaomi webböngészőinél megfigyelt aggasztó adatvédelmi problémára utalnak. A Forbes kiberbiztonsági munkatársa és társszerkesztője Thomas Brewster, kiberbiztonsági kutatókkal együtt Gabriel Cirlig és Andrew Tierney mostanában jelentésben foglalta össze hogy a Xiaomi különféle webböngészői adatokat küldenek távoli szerverekre. Azt állítják, hogy az elküldött adatok tartalmazták az összes meglátogatott webhely előzményeit, beleértve az URL-eket, az összes keresőmotor lekérdezése, és a Xiaomi hírfolyamában megtekintett összes elem, valamint az eszköz metaadatokat. Ami még aggasztó ebben az adatgyűjtési állításban, az az, hogy ezeket az adatokat akkor is gyűjtik, ha látszólag az „inkognitómód” bekapcsolásával böngészik.

Ez az adatgyűjtés látszólag a MIUI előre telepített készletböngészőjén, valamint a Mi Browser Pro és Menta böngésző, mindkettő letölthető a Google Play Áruházból. Ezek a böngészők együttesen több mint 15 millió letöltést érnek el a Play Áruházban, míg a készletböngésző minden Xiaomi eszközön előre telepítve van. A tesztelt készülékek között szerepel a Xiaomi Redmi Note 8, a Xiaomi Mi A1, a Xiaomi Mi 10, a Xiaomi Redmi K20 és a Xiaomi Mi Mix 3. Nem tettek különbséget a Xiaomi Android One vagy MIUI készülékei között, mivel a gyűjtőkódot amúgy is az alapértelmezett böngészőben találtuk meg. Mint ilyen, ez a probléma nem MIUI-központúnak tűnik, hanem attól függ, hogy használja-e a három böngésző valamelyikét az eszközén, függetlenül az alapul szolgáló operációs rendszertől. Más böngészők, mint például a Google Chrome és az Apple Safari, sokkal kevesebb adatot gyűjtenek, így a használat és az összeomlás elemzésére korlátozódnak.

A Xiaomi válaszul látszólag megerősítette, hogy az általa gyűjtött böngészési adatok teljes mértékben megfelelnek a felhasználói adatok védelmére vonatkozó helyi törvényeknek és előírásoknak. Az összegyűjtött információkat a felhasználók hozzájárulásával és anonimizáltuk. A cég azonban cáfolta a kutatásban szereplő állításokat.

A kutatási állítások nem igazak. Az adatvédelem és a biztonság a legfontosabb szempont.

Ez a videó az anonim böngészési adatok gyűjtését mutatja be, amely az egyik leggyakoribb megoldás internetes cégeket, hogy javítsák a böngészőtermékek általános élményét a személyazonosításra nem alkalmas elemek elemzésével információ.

A kutatók azonban kétségesnek találták ezt az anonimitás állítást. A Xiaomi által küldött adatok bevallottan "titkosítva" voltak, de base64-be kódolták, ami könnyen dekódolható. Mivel a böngészési adatok lehet meglehetősen triviális módon dekódolják, és mivel az összegyűjtött adatok eszköz metaadatokat is tartalmaztak, ezek a böngészési adatok látszólag jelentős erőfeszítés nélkül korrelálhatók az egyes felhasználók tevékenységeivel.

Ezenkívül a kutatók azt találták, hogy a Xiaomi böngészők az érzékelőkkel kapcsolatos domaineket pingelték Az Analytics, egy kínai startup, más néven Sensors Data, és a viselkedéselemzésről ismert szolgáltatások. A böngészők tartalmaztak egy SensorDataAPI nevű API-t is. A Xiaomi is vásárlóként szerepel a Sensors Data weboldal.

A Xiaomi több szempontból is cáfol a Forbes jelentésére:

Míg a Sensors Analytics adatelemzési megoldást biztosít a Xiaomi számára, az összegyűjtött névtelen adatok igen a Xiaomi saját szerverein tárolják, és nem osztják meg a Sensors Analytics-szel vagy bármely más harmadik féllel cégek.

A kutatók a Xiaomi tagadása ellen a következővel válaszoltak további bizonyíték adatgyűjtési gyakorlatukról.

A rendelkezésre álló információk alapján aggasztó adatvédelmi probléma merül fel a böngészők működésében. Megkerestük a Xiaomit, hogy további megjegyzéseket fűzzünk ezekhez az állításokhoz.

Forrás: Forbes

1. frissítés: A Xiaomi válaszol a blogbejegyzésben

Egy hivatalos blogbejegyzés A Mi.com oldalon a Xiaomi határozottan tagadta azokat az állításokat, amelyek szerint megsértették volna a felhasználók adatait.

„A Xiaomi csalódottan olvasta a Forbes legutóbbi cikkét. Úgy érezzük, hogy félreértették, amit az adatvédelmi elveinkről és irányelveinkről közöltünk. Felhasználóink ​​adatainak védelme és az internet biztonsága a legfontosabb a Xiaominál; biztosak vagyunk abban, hogy szigorúan betartjuk és teljes mértékben megfelelünk a helyi törvényeknek és előírásoknak. Megkerestük a Forbes-t, hogy tisztázzuk ezt a sajnálatos félreértelmezést.”

A vállalat megerősíti, hogy „összesített használati statisztikai adatokat” gyűjt, amelyek magukban foglalják a „rendszerinformációkat, beállításokat, felhasználói felület funkcióhasználatát, válaszkészség, teljesítmény, memóriahasználat és összeomlási jelentések." Azt állítják, hogy ez az információ "önmagukban nem használható fel egyetlen személy azonosítására sem." Megerősítik hogy az URL-eket gyűjtik, de ez a „lassan betöltődő weboldalak azonosítása” érdekében történik, hogy kitalálják, „hogyan lehet a legjobban javítani az általános böngészést teljesítmény."

Ezután a vállalat kijelenti, hogy az egyéni böngészési adatok szinkronizálása megtörténik, de ez csak akkor történik meg, ha "a felhasználó be van jelentkezve a Mi-fiókba... és be van állítva az adatszinkronizálási funkció A Beállítások alatt "Be" állásba." Tagadják, hogy a böngészési adatok a fent említett összesített használati statisztikai adatokon kívül szinkronizálásra kerüljenek, amikor a felhasználó engedélyezte az inkognitómódot.

A Xiaomi ezután közzétett egy képernyőképet az egyik böngészőalkalmazásából származó kódrészletekről (bár nem határozták meg, melyik böngésző), amelyek állításuk szerint bizonyítják álláspontjukat. A Xiaomi szerint az első kódrészlet egy dekompilált módszert mutat be arra vonatkozóan, hogyan hoznak létre véletlenszerűen generált egyedi tokeneket, amelyeket az összesített használati statisztikákhoz csatolnak. Azt állítják, hogy „ezek A tokenek nem felelnek meg egyetlen személynek sem." A következő kódrészlet látszólag a böngésző forráskódjából származik, és egy módszert mutat be arra vonatkozóan, "hogyan működik a Mi böngésző inkognitó módban, ahol nem a felhasználói böngészési adatok szinkronizálva lesznek." A harmadik kódrészlet azt mutatja, hogy a Xiaomi által gyűjtött összesített használati statisztikák "a Xiaomi domainjén vannak tárolva", és nem adják át a szenzornak. Analitika. Végül a negyedik kép azt mutatja, hogy a használati statisztikai adatok átvitele a TLS 1.2 titkosítású HTTPS protokollal történik.

Mindezt lezárandó, a Xiaomi 4 tanúsítványra hivatkozik, amelyeket a szoftvere kapott a TrustArctól és a British Standard Institutiontól (BSI). E tanúsítványok közé tartozik az ISO27001:2013, ISO27018:2014, ISO29151:2017 és a TRUSTe.

Erre a blogbejegyzésre válaszolva Andrew Tierney kiberbiztonsági kutató felvette a Twitterre hogy cáfolja a Xiaomi állításait. Kijelenti, hogy ő és sokan mások több eszközön is megerősítették a megállapításokat – hogy „nem kétséges, hogy a Mint Browser keresési kifejezéseket és URL-eket küld, miközben Inkognitó módban." Kijelenti, hogy a Xiaomi által közzétett kód nem bizonyítja, hogy "véletlenszerűen generált egyedi tokenek" nem hozhatók összefüggésbe egyénekkel. A kutatók megjegyzik, hogy az UUID úgy tűnik a böngészés során is megmarad és csak változik a böngésző újratelepítésekor. Hogy a Xiaomi csak a saját szerverein vagy máshol tárolja-e az adatokat, az sem volt vita tárgya a kutatónak. Ezenkívül a kutató kijelenti, hogy a Xiaomit nem azzal vádolták, hogy távoli szerverekre küldte volna az adatokat. bizonytalan módszerekkel – Mr. Tierney megjegyzi, hogy a szóban forgó probléma maga az adat, amely folyamatban van küldött.

Örülünk, hogy a Xiaomi közvetlenül foglalkozik ezekkel az állításokkal, de úgy tűnik, hogy a magyarázat jelenleg nem elégíti ki a kutatókat. Figyelni fogjuk ezt a történetet a további fejlemények miatt.


2. frissítés: A Xiaomi leiratkozási lehetőséget kínál a következő böngészőfrissítésben

A Xiaomi frissítette blog bejegyzés bejelenteni, hogy a Mint Browser és a Mi Browser következő frissítése inkognitó módban is lehetőséget fog tartalmazni az "összesített" adatgyűjtés kikapcsolására. A szoftverfrissítéseket ma benyújtják jóváhagyásra a Google Play Áruháznak, és hamarosan elérhetővé kell válniuk a felhasználók számára.

Azt még látni kell, hogy ez az adatgyűjtés alapértelmezés szerint engedélyezve marad-e az inkognitómódban, vagy sem. Reméljük, hogy nem. Ennek ellenére a leiratkozási lehetőség megold néhány adatvédelmi aggályt.


3. frissítés: A Xiaomi frissíti a Mi böngészőt és a Mint böngészőt, hogy tisztázza az inkognitó adatgyűjtési kapcsolót

Míg a Xiaomi egy új beállításkapcsolóval orvosolta az adatvédelmi aggályokat, valójában az történt, hogy a váltáshoz használt nyelv félrevezető volt, és az ellenkezőjét érte el a leírtaknak. Mint Android Hatóság rámutat, a "továbbfejlesztett inkognitó mód" kapcsoló azt mondta: "Az összesített adatstatisztika nem kerül feltöltésre, ha az inkognitómód be van kapcsolva”, ami arra késztette a felhasználókat, hogy elhiggyék, hogy a kapcsoló bekapcsolásával ez az állítás igaz lesz. De ez nem így volt. A megfogalmazás a kapcsoló aktuális állapotát tükrözte, és nem igaz/hamis állítás, amelyet a kapcsoló megfordításával megváltoztat.

Régi viselkedés

Most a Xiaomi frissítette a Mi böngészőt és a Mint böngészőt, hogy jobb nyelve legyen ezen a kapcsolón. A kapcsoló neve "Segítsen nekünk a Mi/Mint Browser fejlesztésében", és a kísérő szöveg így szól: "Kapcsolja be a használati statisztikák megosztásához, amikor az inkognitó mód be van kapcsolva", a szöveg ugyanaz marad, amikor megfordítja a kapcsolót. Ez sokkal egyértelműbb a cél és a beállítás aktív állapota szempontjából.

Új viselkedés

Mindkét verzióban a kapcsolónak kikapcsolt állapotban kell lennie, ha nem szeretné, hogy az adatok inkognitómódban gyűjthetők legyenek. Csak a szöveg változik, hogy jobban tükrözze az állapotot. Mindkét böngésző új frissítése a Google Play Áruházba kerül.