研究者らはXiaomi Webブラウザが閲覧データを収集していると非難

サイバーセキュリティ研究者らは、Xiaomiのブラウザがシークレットモードでも閲覧データ情報を収集している証拠を発見した。 さらに詳しく知りたい方は続きをお読みください。

アップデート 3 (2020 年 5 月 21 日 @ 01:48 AM ET): Xiaomi はブラウザの設定を更新して、その目的をより明確にし、以前の混乱を取り除きました。

アップデート 2 (2020 年 5 月 3 日 @ 10:14 AM ET): Xiaomiはブログ投稿の更新で、ユーザーがシークレットモードでの追跡をオプトアウトできるオプションを備えたブラウザが更新されると述べた。

アップデート 1 (2020 年 5 月 1 日 @ 03:36 PM EST): Xiaomi はこれらの申し立てに対してブログ投稿を公開しました。 アップデートを確認するには下にスクロールします。 2020年5月1日午前6時18分(EST)に公開された元のストーリーは次のとおりです。

Xiaomi スマートフォンは、どの時点においても市場で入手可能な中で最も価値のある購入品の 1 つであることが満場一致で認められています。 いくつか梱包する 非常識なハードウェア いくつかの非常に有利な価格帯で、 特にスマートフォン市場の低価格帯では、これらの電話は、多くの人が断ることができないオファーを出します。 Xiaomi は開発者コミュニティのニーズも受け入れており、次のような決定を行っています。 メーカーの保証を犠牲にすることなくブートローダーのロックを解除できるようにします -- 他の多くの人気のある OEM が放棄する組み合わせであり、OEM の改良点も大幅に改善されています。 カーネルソースのリリース. これらの理由により、これらのデバイスはフォーラムで最も人気のあるデバイスの 1 つとなっており、当然のことながらその人気のスポットを獲得しています。

しかし、セキュリティ研究者からの最近の報告では、Xiaomi の Web ブラウザで観察された憂慮すべきプライバシー問題が指摘されています。 Forbes のサイバーセキュリティ寄稿者および副編集長 トーマス・ブリュースター、サイバーセキュリティ研究者とともに ガブリエル・サーリグ そして アンドリュー・ティアニー 最近 報告書で結論付けられた Xiaomi のさまざまな Web ブラウザがリモート サーバーにデータを送信していたこと。 彼らは、送信されたデータには、URL を含む、訪問したすべての Web サイトの履歴が含まれていたと主張しています。 すべての検索エンジンのクエリ、Xiaomi のニュース フィードで表示されたすべてのアイテム、およびデバイス メタデータ。 このデータ収集疑惑でさらに懸念されるのは、一見「シークレット モード」を有効にして閲覧しているように見えても、このデータが収集されているということです。

このデータ収集は、MIUI にプリインストールされているストック ブラウザーだけでなく、 Mi ブラウザ プロ そして ミントブラウザ、どちらも Google Play ストアからダウンロードできます。 これらのブラウザーは合わせて、Play ストアで 1,500 万回以上ダウンロードされており、ストック ブラウザーはすべての Xiaomi デバイスにプリロードされています。 テストされたデバイスには、Xiaomi Redmi Note 8、Xiaomi Mi A1、Xiaomi Mi 10、Xiaomi Redmi K20、および Xiaomi Mi Mix 3 が含まれます。 とにかくコレクションコードがデフォルトのブラウザで見つかったため、XiaomiのAndroid OneデバイスとMIUIデバイスの間に区別はありませんでした。 そのため、この問題は MIUI 中心のものではないようですが、基盤となる OS に関係なく、デバイスでこれら 3 つのブラウザーのいずれかを使用しているかどうかによって異なります。 Google Chrome や Apple Safari などの他のブラウザは、収集するデータがはるかに少なく、使用状況とクラッシュの分析に限定されています。

Xiaomiは、収集している閲覧データがユーザーデータのプライバシー問題に関する現地の法律や規制に完全に準拠していることを確認したようでこれに応じた。 収集された情報はユーザーの同意を得て匿名化されました。 しかし、同社は調査でこの主張を否定した。

研究の主張は真実ではありません。 プライバシーとセキュリティは最大の懸念事項です。

このビデオでは、匿名の閲覧データの収集について説明します。これは、企業が採用する最も一般的なソリューションの 1 つです。 インターネット企業は、個人を特定できない情報を分析することでブラウザ製品のエクスペリエンス全体を向上させることができます。 情報。

しかし研究者らは、この匿名性の主張が疑わしいと判断した。 Xiaomi が送信していたデータは確かに「暗号化」されていましたが、base64 でエンコードされていたため、簡単にデコードできました。 閲覧データは、 かなり簡単な方法でデコードされました、そして収集されたデータにはデバイスのメタデータも含まれていたため、この閲覧データは大きな労力をかけずに個々のユーザーのアクションと関連付けられるように見えます。

さらに、研究者らは、Xiaomi ブラウザがセンサーに関連するドメインに ping を送信していることを発見しました。 Analytics は、Sensors Data としても知られる中国のスタートアップで、行動分析を提供することで知られています。 サービス。 ブラウザには、SensorDataAPI と呼ばれる API も含まれていました。 Xiaomi も顧客としてリストされています。 センサーデータのウェブサイト.

Xiaomi は Forbes の報道に対し、いくつかの点で否定しています。

Sensors Analytics は Xiaomi にデータ分析ソリューションを提供しますが、収集された匿名データは Xiaomi 独自のサーバーに保存され、Sensors Analytics やその他のサードパーティと共有されることはありません 企業。

研究者らはXiaomiの否定に対して次のように返答した。 更なる証拠 データ収集の実践について。

現在入手可能な情報によると、これらのブラウザの機能には憂慮すべきプライバシー問題があるようです。 これらの主張についてさらなるコメントを求めてXiaomiに連絡を取りました。

ソース: フォーブス

アップデート 1: Xiaomi がブログ投稿で返答

公式ブログ投稿 Mi.com では、Xiaomi はユーザーのプライバシーを侵害しているという主張を強く否定しました。

「Xiaomi は Forbes の最近の記事を読んでがっかりしました。 データプライバシーの原則とポリシーに関して私たちが伝えたことを彼らが誤解していると感じています。 Xiaomi ではユーザーのプライバシーとインターネット セキュリティが最優先事項です。 私たちは現地の法律と規制を厳格に遵守し、完全に遵守していると確信しています。 私たちはこの残念な誤解について明確にするためにフォーブスに連絡を取りました。」

同社は、「システム情報、設定、ユーザー インターフェイス機能の使用状況、 応答性、パフォーマンス、メモリ使用量、およびクラッシュ レポート。」彼らは、この情報だけを「個人を特定するために使用することはできない」と述べています。 URL は収集されますが、これは「全体的なブラウジングを最適に改善する方法を見つけるために」「読み込みが遅い Web ページを特定する」ために行われるとのこと パフォーマンス。"

次に、同社は個人の閲覧データ履歴が同期されると述べていますが、これは「ユーザーがMiアカウントにサインインしており、データ同期機能が設定されている場合にのみ行われます」と述べています。 彼らは、ユーザーがシークレット モードを有効にしている場合、前述の集計された使用統計データとは別に、閲覧データが同期されることを否定しています。

その後、Xiaomi は自社のブラウザ アプリの 1 つからのコード スニペットのスクリーンショットを公開しました (ただし、どのブラウザかは明らかにしていません)。 Xiaomi によると、最初のコード スニペットは、「ランダムに生成された一意のトークンを作成して使用統計の集計に追加する方法」を示す逆コンパイルされたメソッドを示しています。 彼らは次のように述べています。 トークンはどの個人にも対応しません。」 次のコード スニペットはブラウザのソース コードからのものと思われ、「シークレット モードで Mi Browser がどのように動作するか」のメソッドを示しています。 ユーザーの閲覧データは同期されます。」 3 番目のコード スニペットは、Xiaomi が収集する集約された使用統計が「Xiaomi のドメインに保存」され、Sensor に渡されないことを示しています。 分析。 最後に4番目の画像は「利用統計データがTLS 1.2暗号化のHTTPSプロトコルで転送されることを示しています」。

最後に、Xiaomi は自社のソフトウェアが TrustArc と British Standard Institution (BSI) から取得した 4 つの認定を引用しました。 これらの認証には、ISO27001:2013、ISO27018:2014、ISO29151:2017、および TRUSTe が含まれます。

このブログ投稿に対して、サイバーセキュリティ研究者の Andrew Tierney 氏は次のように答えています。 ツイッターに投稿した Xiaomiの主張に反論するため。 同氏は、自分と他の数人が複数のデバイスにわたる調査結果を再確認したと述べており、「Mint Browser が検索用語と URL を送信していることに疑いの余地はない」としている。 彼は、Xiaomi が公開したコードは、「ランダムに生成された固有のトークン」が個人と関連付けられないことを証明していないと述べています。 研究者らは、UUID は次のようなものであると指摘しています。 ブラウジングセッション間で持続する そして変わるだけ ブラウザを再インストールしたとき. Xiaomi がデータを自社のサーバーにのみ保存するのか、それとも他の場所に保存するのかは、研究者にとっても争点ではありませんでした。 さらに、研究者はXiaomiがリモートサーバーにデータを送信したことで非難されていないと述べています 安全でない方法で—Mr. Tierney 氏は、当面の問題はデータ自体にあると指摘しています。 送信済み。

Xiaomiがこれらの疑惑に直接対処するのを見てうれしいですが、現時点ではその説明は研究者を満足させるものではないようです。 今後もこの物語の展開に注目していきたいと思います。


アップデート 2: Xiaomi、次回のブラウザ更新でオプトアウト オプションを提供

Xiaomi がアップデートしました ブログ投稿 Mint Browser と Mi Browser の次のアップデートには、「集約」データ収集をオフにするシークレット モードのオプションが含まれることを発表しました。 ソフトウェアアップデートは承認を得るために本日中に Google Play ストアに送信され、間もなくユーザーが利用できるようになる予定です。

このデータ収集がシークレット モード内でデフォルトで有効のままになるかどうかはまだわかりません。 そうではないことを願っています。 それでも、オプトアウトのオプションがあることは、一部のプライバシー上の懸念に対処するのに役立ちます。


アップデート 3: Xiaomi は、シークレット データ収集の切り替えを明確にするために Mi ブラウザと Mint ブラウザをアップデートしています

Xiaomi は新しい設定トグルでプライバシーの懸念に対処しましたが、実際に起こったことは、トグルに使用された文言が誤解を招くものであり、記載されている内容と反対の結果をもたらしたということでした。 として Android 権限 指摘している、「」強化されたシークレット モード「トグルはこう言いました。」シークレット モードがオンの場合、集計されたデータ統計はアップロードされません」という記述があったため、ユーザーはトグルをオンにするとこの声明が真実になると信じました。 しかし、そうではありませんでした。 この文言はトグルの現在の状態を反映したものであり、スイッチを切り替えることで変更される真偽を示すものではありませんでした。

古い動作

現在、Xiaomi は Mi Browser と Mint Browser を更新して、このトグルの言語を改善しました。 トグルは「」と呼ばれるようになりました。Mi/Mint ブラウザの改善にご協力ください"、そしてそれに付随するテキストには "シークレット モードがオンのときに使用状況統計を共有するにはオンにします」と表示され、スイッチを切り替えてもテキストは変わりません。 これにより、設定の目的とアクティブな状態がより明確になります。

新しい動作

どちらのバージョンでも、シークレット モードでデータを収集したくない場合は、トグルをオフの状態にする必要があります。 状態をよりよく反映するためにテキストが変更されているだけです。 両方のブラウザの新しいアップデートが Google Play ストアにプッシュされます。