მკვლევარები Xiaomi ბრაუზერებს ბრაუზერის მონაცემების შეგროვებაში ადანაშაულებენ

კიბერუსაფრთხოების მკვლევარებმა აღმოაჩინეს მტკიცებულება იმისა, რომ Xiaomi-ის ბრაუზერები აგროვებდნენ დათვალიერების მონაცემებს ინკოგნიტო რეჟიმშიც კი. წაიკითხეთ მეტი რომ იცოდეთ!

განახლება 3 (05/21/2020 @ 01:48 AM ET): Xiaomi-მ განაახლა თავისი ბრაუზერის პარამეტრები, რათა უფრო მკაფიო იყოს მათი დანიშნულება, მოხსნის წინა დაბნეულობას.

განახლება 2 (05/03/2020 @ 10:14 AM ET): ბლოგის პოსტის განახლებაში Xiaomi-მ აღნიშნა, რომ მისი ბრაუზერები განახლდება იმ ოფციით, რომელიც მომხმარებლებს საშუალებას მისცემს უარი თქვან თვალყურის დევნაზე ინკოგნიტო რეჟიმში.

განახლება 1 (05/01/2020 @ 03:36 PM EST): Xiaomi-მ ამ ბრალდებების საპასუხოდ ბლოგპოსტი გამოაქვეყნა. გადადით ქვემოთ განახლებისთვის. ორიგინალური ამბავი, როგორც გამოქვეყნდა 2020 წლის 1 მაისს, 06:18 AM EST, შემდეგია.

Xiaomi სმარტფონები ერთხმად შეთანხმდნენ, რომ იქნება ერთ-ერთი საუკეთესო ღირებულების შესყიდვა ბაზარზე ნებისმიერ დროს. შეფუთვა ზოგიერთი გიჟური აპარატურა ზოგიერთ ძალიან მომგებიან ფასებში, განსაკუთრებით სმარტფონების ბაზრის ქვედა ბოლოში, ეს ტელეფონები აკეთებენ შეთავაზებას, რომელზეც ბევრი ადამიანი უბრალოდ ვერ იტყვის უარს. Xiaomi ასევე აკმაყოფილებდა დეველოპერთა საზოგადოების საჭიროებებს, ისეთი გადაწყვეტილებებით, როგორიცაა

ჩამტვირთველის განბლოკვის საშუალებას მწარმოებლის გარანტიის შეწირვის გარეშე - კომბინაცია, რომელსაც ბევრი სხვა პოპულარული OEM უგულებელყოფს და ასევე მნიშვნელოვნად აუმჯობესებს მათ ბირთვის წყაროს რელიზები. ეს მიზეზები მათ ერთ-ერთ ყველაზე პოპულარულ მოწყობილობად აქცევს ჩვენს ფორუმებზე და მათ სამართლიანად მოიპოვეს პოპულარობის ეს ადგილი.

თუმცა, უსაფრთხოების მკვლევარების ბოლო მოხსენებები მიუთითებს კონფიდენციალურობის შემაშფოთებელ საკითხზე, რომელიც დაფიქსირდა Xiaomi-ს ვებ ბრაუზერებზე. Forbes-ის კიბერუსაფრთხოების თანამშრომელი და ასოცირებული რედაქტორი თომას ბრუსტერი, კიბერუსაფრთხოების მკვლევარებთან ერთად გაბრიელ ცირლიგი და ენდრიუ ტირნი ცოტა ხნის წინ დასკვნა მოხსენებაში რომ Xiaomi-ს სხვადასხვა ვებ ბრაუზერები აგზავნიდნენ მონაცემებს დისტანციურ სერვერებზე. ისინი ამტკიცებენ, რომ გაგზავნილი მონაცემები მოიცავდა ყველა მონახულებული ვებსაიტის ისტორიას, URL-ების ჩათვლით, ყველა მოთხოვნა საძიებო სისტემაში და Xiaomi-ის სიახლეების არხზე ნახული ყველა ელემენტი მოწყობილობასთან ერთად მეტამონაცემები. რაც კი შემაშფოთებელია მონაცემთა შეგროვების ამ ბრალდებებთან დაკავშირებით არის ის, რომ ეს მონაცემები გროვდება მაშინაც კი, თუ თქვენ ერთი შეხედვით ათვალიერებთ ჩართული „ინკოგნიტო რეჟიმში“.

ეს მონაცემთა შეგროვება, როგორც ჩანს, ხდება წინასწარ დაინსტალირებულ საფონდო ბრაუზერზე MIUI-ზე, ასევე Mi Browser Pro და Mint ბრაუზერი, ორივე ჩამოსატვირთად ხელმისაწვდომია Google Play Store-იდან. ერთად, ამ ბრაუზერებს აქვთ 15 მილიონზე მეტი ჩამოტვირთვა Play Store-ზე, ხოლო საფონდო ბრაუზერი წინასწარ დატვირთულია Xiaomi-ის ყველა მოწყობილობაზე. ტესტირებული მოწყობილობები მოიცავს Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 და Xiaomi Mi Mix 3. არ არსებობდა განსხვავება Xiaomi-ს Android One-სა და MIUI მოწყობილობებს შორის, რადგან კოლექციის კოდი მაინც ნაპოვნი იქნა ნაგულისხმევ ბრაუზერში. როგორც ასეთი, როგორც ჩანს, ეს საკითხი არ არის MIUI-ზე ორიენტირებული, მაგრამ დამოკიდებულია იმაზე, იყენებთ თუ არა ამ სამი ბრაუზერიდან რომელიმე თქვენს მოწყობილობაზე, განურჩევლად ძირითადი OS. სხვა ბრაუზერები, როგორიცაა Google Chrome და Apple Safari, აგროვებენ გაცილებით ნაკლებ მონაცემებს, ზღუდავენ თავიანთ გამოყენებას და ავარიის ანალიტიკას.

Xiaomi-მ უპასუხა, როგორც ჩანს, დაადასტურა, რომ დათვალიერების მონაცემები, რომელსაც აგროვებდა, სრულად შეესაბამება ადგილობრივ კანონებსა და რეგულაციებს მომხმარებლის მონაცემების კონფიდენციალურობის საკითხებთან დაკავშირებით. შეგროვებული ინფორმაცია იყო მომხმარებლის თანხმობა და ანონიმური. თუმცა, კომპანიამ უარყო პრეტენზია კვლევაში.

კვლევის პრეტენზიები არ შეესაბამება სიმართლეს. კონფიდენციალურობა და უსაფრთხოება მთავარი საზრუნავია.

ეს ვიდეო გვიჩვენებს ანონიმური დათვალიერების მონაცემების კრებულს, რომელიც ერთ-ერთი ყველაზე გავრცელებული გადაწყვეტილებაა, რომელიც მიღებულია ინტერნეტ კომპანიებმა გააუმჯობესონ ბრაუზერის პროდუქტის საერთო გამოცდილება არაპერსონალური იდენტიფიცირების ანალიზის გზით ინფორმაცია.

თუმცა, მკვლევარებმა ანონიმურობის ეს მტკიცება საეჭვოდ მიიჩნიეს. მონაცემები, რომლებსაც Xiaomi აგზავნიდა, რა თქმა უნდა, "დაშიფრული" იყო, მაგრამ ის დაშიფრული იყო base64-ში, რომლის გაშიფვრა ადვილია. ვინაიდან დათვალიერების მონაცემები შეიძლება იყოს საკმაოდ ტრივიალურად გაშიფრული, და რადგან შეგროვებული მონაცემები ასევე შეიცავდა მოწყობილობის მეტამონაცემებს, დათვალიერების ეს მონაცემები შეიძლება, როგორც ჩანს, დაკავშირებული იყოს ცალკეული მომხმარებლების ქმედებებთან მნიშვნელოვანი ძალისხმევის გარეშე.

გარდა ამისა, მკვლევარებმა აღმოაჩინეს, რომ Xiaomi ბრაუზერები აწარმოებდნენ პინგს სენსორებთან დაკავშირებულ დომენებს Analytics, ჩინური სტარტაპი, რომელიც ასევე ცნობილია როგორც Sensors Data, რომელიც ცნობილია ქცევითი ანალიტიკის მიწოდებით მომსახურება. ბრაუზერები ასევე შეიცავდნენ API-ს სახელწოდებით SensorDataAPI. Xiaomi ასევე არის ჩამოთვლილი, როგორც მომხმარებელი სენსორების მონაცემთა ვებსაიტი.

Xiaomi უპასუხა Forbes-ის ანგარიშს რამდენიმე ასპექტზე უარყოფითად:

მიუხედავად იმისა, რომ Sensors Analytics უზრუნველყოფს მონაცემთა ანალიზის გადაწყვეტას Xiaomi-სთვის, შეგროვებული ანონიმური მონაცემები არის ინახება Xiaomi-ს საკუთარ სერვერებზე და არ იქნება გაზიარებული Sensors Analytics-თან ან სხვა მესამე მხარესთან კომპანიები.

მკვლევარებმა უპასუხეს Xiaomi-ის უარყოფას შემდგომი მტკიცებულება მათი მონაცემთა შეგროვების პრაქტიკა.

ხელთ არსებული ინფორმაციის გამო, როგორც ჩანს, კონფიდენციალურობის შემაშფოთებელი საკითხია ამ ბრაუზერების ფუნქციონირებაში. ჩვენ დავუკავშირდით Xiaomi-ს ამ პრეტენზიების შესახებ დამატებითი კომენტარისთვის.

წყარო: Forbes

განახლება 1: Xiaomi პასუხობს ბლოგის პოსტში

ში ოფიციალური ბლოგის პოსტი Mi.com-ზე Xiaomi-მ კატეგორიულად უარყო ბრალდებები, რომ ისინი არღვევდნენ მომხმარებლის კონფიდენციალურობას.

„Xiaomi იმედგაცრუებული იყო Forbes-ის ბოლო სტატიის წაკითხვით. ჩვენ ვგრძნობთ, რომ მათ არასწორად გაიგეს ის, რაც ჩვენ ვუთხარით ჩვენს მონაცემთა კონფიდენციალურობის პრინციპებსა და პოლიტიკას. ჩვენი მომხმარებლის კონფიდენციალურობა და ინტერნეტის დაცვა Xiaomi-ში მთავარი პრიორიტეტია; ჩვენ დარწმუნებულები ვართ, რომ მკაცრად ვიცავთ და სრულყოფილად ვიცავთ ადგილობრივ კანონებსა და რეგულაციებს. ჩვენ მივმართეთ Forbes-ს, რათა შევთავაზოთ სიცხადე ამ სამწუხარო არასწორი ინტერპრეტაციის შესახებ.

კომპანია ადასტურებს, რომ ისინი აგროვებენ "გამოყენების სტატისტიკის მონაცემებს", რომელიც მოიცავს "სისტემის ინფორმაციას, პრეფერენციებს, მომხმარებლის ინტერფეისის ფუნქციების გამოყენებას, რეაგირება, შესრულება, მეხსიერების გამოყენება და ავარიის ანგარიშები." ისინი აცხადებენ, რომ ეს ინფორმაცია "მარტო არ შეიძლება გამოყენებულ იქნას რომელიმე პიროვნების იდენტიფიცირებისთვის." ისინი ადასტურებენ რომ URL-ები გროვდება, მაგრამ ეს კეთდება იმისთვის, რომ „დაიდგინოს ვებ გვერდები, რომლებიც იტვირთება ნელა“, რათა მათ გაარკვიონ „როგორ უკეთესად გააუმჯობესონ საერთო დათვალიერება შესრულება."

შემდეგი, კომპანია აცხადებს, რომ ინდივიდუალური დათვალიერების მონაცემების ისტორია სინქრონიზებულია, მაგრამ ეს კეთდება მხოლოდ მაშინ, როდესაც „მომხმარებელი ხელმოწერილია Mi ანგარიშზე...და დაყენებულია მონაცემთა სინქრონიზაციის ფუნქცია. "ჩართეთ" პარამეტრების ქვეშ." ისინი უარყოფენ, რომ დათვალიერების მონაცემები, გარდა ზემოაღნიშნული გამოყენების სტატისტიკური მონაცემებისა, სინქრონიზებულია, როდესაც მომხმარებელმა ჩართო ინკოგნიტო რეჟიმი.

შემდეგ Xiaomi-მ გამოაქვეყნა კოდის ფრაგმენტების ეკრანის ანაბეჭდები ბრაუზერის ერთ-ერთი აპლიკაციიდან (თუმცა მათ არ დააკონკრეტეს რომელი ბრაუზერი), რომლებიც, მათი თქმით, ასახავს მათ ქულებს. კოდის პირველი ფრაგმენტი, Xiaomi-ს თანახმად, აჩვენებს დეკომპილირებულ მეთოდს იმის შესახებ, თუ როგორ ქმნიან შემთხვევით გენერირებულ უნიკალურ ტოკენებს, რათა დაემატოს გამოყენების საერთო სტატისტიკას. ისინი აცხადებენ, რომ „ეს ტოკენები არ შეესაბამება რომელიმე ინდივიდს." შემდეგი კოდის ნაწყვეტი, როგორც ჩანს, ბრაუზერის საწყისი კოდიდან არის და აჩვენებს მეთოდს, თუ როგორ მუშაობს Mi Browser ინკოგნიტო რეჟიმში, სადაც არა მომხმარებლის დათვალიერების მონაცემები სინქრონიზდება." მესამე კოდის ნაწყვეტი გვიჩვენებს, რომ გამოყენების საერთო სტატისტიკა, რომელსაც Xiaomi აგროვებს, "შენახულია Xiaomi-ის დომენზე" და არ გადაეცემა სენსორს. ანალიტიკა. საბოლოოდ, მეოთხე სურათი "გვიჩვენებს, რომ გამოყენების სტატისტიკური მონაცემები გადაცემულია TLS 1.2 დაშიფვრის HTTPS პროტოკოლით."

ყოველივე ამის შესასრულებლად, Xiaomi მოჰყავს 4 სერთიფიკატი, რომელიც მათმა პროგრამამ მიიღო TrustArc-ისგან და ბრიტანეთის სტანდარტული ინსტიტუტისგან (BSI). ეს სერთიფიკატები მოიცავს ISO27001:2013, ISO27018:2014, ISO29151:2017 და TRUSTe.

ამ ბლოგის პოსტის საპასუხოდ, კიბერუსაფრთხოების მკვლევარი ენდრიუ ტირნი წავიდა Twitter-ზე უარყოს Xiaomi-ს პრეტენზიები. ის აცხადებს, რომ მან და რამდენიმე სხვამ ხელახლა დაადასტურა დასკვნები მრავალ მოწყობილობაზე - რომ "ეჭვი არ არის, რომ Mint Browser აგზავნის საძიებო ტერმინებსა და URLS-ებს, სანამ ინკოგნიტო რეჟიმში." ის აცხადებს, რომ კოდი, რომელიც Xiaomi-მ გამოაქვეყნა, არ აჩვენებს, რომ მათი "შემთხვევით გენერირებული უნიკალური ნიშნები" არ შეიძლება იყოს დაკავშირებული ინდივიდებთან. მკვლევარები აღნიშნავენ, რომ UUID როგორც ჩანს შენარჩუნდეს დათვალიერების სესიებზე და მხოლოდ იცვლება როდესაც ბრაუზერი ხელახლა დაინსტალირდება. Xiaomi ინახავს თუ არა მონაცემებს მხოლოდ საკუთარ სერვერებზე თუ სხვაგან, არ იყო კამათის ადგილი მკვლევარისთვის. გარდა ამისა, მკვლევარი აცხადებს, რომ Xiaomi არ იყო ბრალდებული მონაცემების დისტანციურ სერვერებზე გაგზავნაში. არასაიმედო მეთოდებით-მ. ტიერნი აღნიშნავს, რომ საკითხი არის თავად მონაცემები, რაც არსებობს გაგზავნილი.

მოხარული ვართ, რომ Xiaomi პირდაპირ მიმართავს ამ ბრალდებებს, მაგრამ ახსნა, როგორც ჩანს, ამ ეტაპზე არ დააკმაყოფილებს მკვლევარებს. ჩვენ თვალს ვადევნებთ ამ ამბავს შემდგომი განვითარებისთვის.


განახლება 2: Xiaomi გთავაზობთ უარის თქმის ვარიანტს ბრაუზერის შემდეგ განახლებაში

Xiaomi-მ განაახლა თავისი ბლოგის პოსტი გამოაცხადოს, რომ Mint Browser-ისა და Mi Browser-ის შემდეგი განახლება მოიცავს პარამეტრს ინკოგნიტო რეჟიმში გამორთვის "აგრეგირებული" მონაცემთა შეგროვება. პროგრამული უზრუნველყოფის განახლებები დღეს დასამტკიცებლად გადაეგზავნება Google Play Store-ს და ხელმისაწვდომი იქნება მომხმარებლებისთვის საკმაოდ მალე.

გასარკვევია, დარჩება თუ არა მონაცემთა შეგროვება ნაგულისხმევად ჩართული ინკოგნიტო რეჟიმში, თუ არა. ვიმედოვნებთ, რომ ასე არ არის. მიუხედავად ამისა, უარის თქმის შესაძლებლობა მუშაობს კონფიდენციალურობის შესახებ გარკვეული პრობლემების გადასაჭრელად.


განახლება 3: Xiaomi ანახლებს Mi ბრაუზერს და Mint ბრაუზერს, რათა დაზუსტდეს მისი ინკოგნიტო მონაცემთა შეგროვების გადართვა

მიუხედავად იმისა, რომ Xiaomi-მ კონფიდენციალურობის პრობლემას ახალი პარამეტრების გადართვით უპასუხა, სინამდვილეში მოხდა ის, რომ გადამრთველისთვის გამოყენებული ენა შეცდომაში შემყვანი იყო, რაც დაწერილის საპირისპიროს მიაღწია. როგორც ანდროიდის ავტორიტეტი აღნიშნავს, "გაძლიერებული ინკოგნიტო რეჟიმი” თგგლმა თქვა: ”მონაცემთა გაერთიანებული სტატისტიკა არ აიტვირთება, როდესაც ინკოგნიტო რეჟიმი ჩართულია”, რამაც მომხმარებლებმა მიიჩნიეს, რომ გადართვის ჩართვა ამ განცხადებას სიმართლეს გახდის. მაგრამ ეს ასე არ იყო. ფორმულირება ასახავდა გადართვის ამჟამინდელ მდგომარეობას და არ იყო ჭეშმარიტი/მცდარი განცხადება, რომელსაც ცვლით გადამრთველის გადაბრუნებით.

ძველი ქცევა

ახლა, Xiaomi-მ განაახლა Mi ბრაუზერი და Mint ბრაუზერი, რომ უკეთესი ენა ჰქონდეს ამ გადართვაზე. გადამრთველს ახლა ეწოდება "დაგვეხმარეთ Mi/Mint ბრაუზერის გაუმჯობესებაშიდა თანდართულ ტექსტში ნათქვამია:ჩართეთ გამოყენების სტატისტიკის ჩვენთან გასაზიარებლად, როდესაც ჩართულია ინკოგნიტო რეჟიმი", ტექსტი იგივე რჩება გადამრთველის გადაბრუნებისას. ეს ბევრად უფრო ნათლად ჩანს გარემოს მიზნისა და აქტიური მდგომარეობისთვის.

ახალი ქცევა

ორივე ვერსიაში გადამრთველი უნდა იყოს გამორთულ მდგომარეობაში, თუ გსურთ, რომ თქვენი მონაცემები არ შეგროვდეს ინკოგნიტო რეჟიმში. მხოლოდ ტექსტი იცვლება მდგომარეობის უკეთ ასახვისთვის. ორივე ბრაუზერის ახალი განახლება გადადის Google Play Store-ში.