사이버 보안 연구원들은 Xiaomi의 브라우저가 시크릿 모드에서도 검색 데이터 정보를 수집했다는 증거를 발견했습니다. 더 자세히 알아보려면 계속 읽어보세요!
업데이트 3(2020년 5월 21일 @ 오전 1시 48분(ET)): Xiaomi는 이전의 혼란을 없애고 목적을 더욱 명확하게 하기 위해 브라우저 설정을 업데이트했습니다.
업데이트 2(2020년 5월 3일 @ 오전 10시 14분(ET)): 블로그 게시물 업데이트에서 Xiaomi는 사용자가 시크릿 모드에서 추적을 거부할 수 있는 옵션으로 브라우저가 업데이트될 것이라고 언급했습니다.
업데이트 1(2020년 5월 1일 @ 오후 3시 36분(EST)): Xiaomi는 이러한 주장에 대해 블로그 게시물을 게시했습니다. 업데이트를 보려면 아래로 스크롤하세요. 2020년 5월 1일 오전 6시 18분(EST)에 게시된 원본 이야기는 다음과 같습니다.
Xiaomi 스마트폰은 어느 시점에서든 시장에서 구입할 수 있는 최고의 가치 구매 제품 중 하나라는 데 만장일치로 동의했습니다. 일부 포장 미친 하드웨어 아주 수익성이 좋은 가격대에서, 특히 스마트폰 시장의 저가형에서, 이 휴대폰은 많은 사람들이 거부할 수 없는 제안을 합니다. Xiaomi는 또한 다음과 같은 결정을 내려 개발자 커뮤니티의 요구를 수용해 왔습니다. 제조업체의 보증을 희생하지 않고 부트로더 잠금 해제를 허용합니다. -- 다른 많은 인기 OEM이 폐기하는 조합일 뿐만 아니라 커널 소스 릴리스. 이러한 이유로 이 장치는 우리 포럼에서 가장 인기 있는 장치 중 하나가 되었으며, 당연히 그 인기를 얻었습니다.
그러나 보안 연구원들의 최근 보고서는 Xiaomi의 웹 브라우저에서 관찰된 우려스러운 개인 정보 보호 문제를 지적합니다. Forbes의 사이버 보안 기고자 및 부편집자 토마스 브루스터, 사이버보안 연구원들과 함께 가브리엘 써리그 그리고 앤드류 티어니 최근에 보고서로 결론지었다 Xiaomi의 다양한 웹 브라우저가 원격 서버로 데이터를 보내고 있다는 것입니다. 그들은 전송된 데이터에는 URL을 포함하여 방문한 모든 웹사이트의 기록이 포함되어 있다고 주장합니다. 모든 검색 엔진 쿼리 및 Xiaomi의 뉴스 피드에서 본 모든 항목과 장치 메타데이터. 이 데이터 수집 주장에 대해 걱정스러운 점은 "시크릿 모드"를 활성화한 상태로 탐색하는 것처럼 보이는 경우에도 이 데이터가 수집된다는 것입니다.
이 데이터 수집은 MIUI에 사전 설치된 기본 브라우저에서 발생하는 것으로 보입니다. 미 브라우저 프로 그리고 민트 브라우저, 둘 다 Google Play 스토어를 통해 다운로드할 수 있습니다. 이 브라우저들은 Play 스토어에서 1,500만 건이 넘는 다운로드를 기록했으며 기본 브라우저는 모든 Xiaomi 장치에 사전 로드되어 있습니다. 테스트된 장치에는 Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 및 Xiaomi Mi Mix 3가 포함됩니다. 어쨌든 수집 코드는 기본 브라우저에서 발견되었기 때문에 샤오미의 안드로이드 원이나 MIUI 기기 사이에는 구별이 없었습니다. 따라서 이 문제는 MIUI 중심이 아닌 것으로 보이지만 기본 OS에 관계없이 장치에서 이 세 가지 브라우저 중 하나를 사용하는지 여부에 따라 달라집니다. Google Chrome 및 Apple Safari와 같은 다른 브라우저는 훨씬 적은 양의 데이터를 수집하므로 사용 및 충돌 분석으로 제한됩니다.
샤오미는 수집 중인 검색 데이터가 사용자 데이터 개인 정보 보호 문제에 관한 현지 법률 및 규정을 완전히 준수한다는 점을 겉으로는 확인하는 것으로 대응했습니다. 수집된 정보는 사용자의 동의를 거쳐 익명으로 처리되었습니다. 그러나 회사는 연구에서 이러한 주장을 부인했습니다.
연구 주장은 사실이 아닙니다. 개인 정보 보호 및 보안이 가장 중요합니다.
이 비디오는 익명 검색 데이터 수집을 보여줍니다. 이는 다음과 같은 방법으로 채택되는 가장 일반적인 솔루션 중 하나입니다. 인터넷 회사는 개인 식별이 불가능한 분석을 통해 전반적인 브라우저 제품 경험을 개선합니다. 정보.
그러나 연구자들은 이러한 익명성 주장이 모호하다는 사실을 발견했습니다. 샤오미가 보낸 데이터는 "암호화"된 것으로 인정되지만 쉽게 디코딩할 수 있는 base64로 인코딩되었습니다. 검색 데이터는 다음과 같을 수 있으므로 다소 사소한 방식으로 디코딩됨그리고 수집된 데이터에는 장치 메타데이터도 포함되어 있으므로 이 검색 데이터는 별다른 노력 없이도 개별 사용자의 작업과 표면적으로 상관관계가 있을 수 있습니다.
또한 연구원들은 Xiaomi 브라우저가 센서와 관련된 도메인을 핑하고 있음을 발견했습니다. Analytics는 행동 분석을 제공하는 것으로 알려진 Sensors Data라고도 알려진 중국 스타트업입니다. 서비스. 브라우저에는 SensorDataAPI라는 API도 포함되어 있습니다. Xiaomi도 고객으로 등록되어 있습니다. 센서 데이터 웹사이트.
Xiaomi는 Forbes의 보고서에 대해 여러 측면에서 부인하면서 응답했습니다.
Sensors Analytics는 Xiaomi에 대한 데이터 분석 솔루션을 제공하지만 수집된 익명 데이터는 Xiaomi 자체 서버에 저장되며 Sensors Analytics 또는 기타 제3자와 공유되지 않습니다. 회사.
연구원들은 Xiaomi의 거부에 대해 다음과 같이 대응했습니다. 추가 증거 그들의 데이터 수집 관행.
현재 이용 가능한 정보로 볼 때 이러한 브라우저가 작동하는 방식에는 걱정스러운 개인 정보 보호 문제가 있는 것으로 보입니다. 우리는 이러한 주장에 대한 추가 의견을 얻기 위해 Xiaomi에 연락했습니다.
원천: 포브스
업데이트 1: Xiaomi가 블로그 게시물에 응답
에 공식 블로그 게시물 Mi.com에서 Xiaomi는 사용자 개인정보를 침해했다는 주장을 강력히 부인했습니다.
“샤오미는 포브스의 최근 기사를 읽고 실망했습니다. 우리는 데이터 개인 정보 보호 원칙 및 정책과 관련하여 우리가 전달한 내용을 그들이 오해했다고 생각합니다. Xiaomi에서는 사용자의 개인정보 보호와 인터넷 보안을 최우선으로 생각합니다. 우리는 현지 법률 및 규정을 엄격히 준수하고 있으며 이를 완벽하게 준수하고 있다고 확신합니다. 우리는 이 불행한 오해에 대해 명확성을 제공하기 위해 Forbes에 연락했습니다.”
회사는 "시스템 정보, 기본 설정, 사용자 인터페이스 기능 사용, 응답성, 성능, 메모리 사용량 및 충돌 보고서" 그들은 이 정보만으로는 "개인을 식별하는 데 단독으로 사용될 수 없다"고 말합니다. URL은 수집되지만 이는 "느리게 로드되는 웹 페이지를 식별"하여 "전반적인 탐색을 가장 효과적으로 개선하는 방법"을 알아내기 위해 수행됩니다. 성능."
다음으로 회사에서는 개인의 인터넷 사용 기록이 동기화되지만 이는 "사용자가 Mi 계정에 로그인되어 있고... 데이터 동기화 기능이 설정된 경우에만 수행됩니다"라고 밝혔습니다. 설정에서 '켜짐'으로 설정합니다." 그들은 사용자가 시크릿 모드를 활성화했을 때 위에서 언급한 집계된 사용 통계 데이터 외에 검색 데이터가 동기화된다는 것을 거부합니다.
그런 다음 Xiaomi는 자신의 주장을 입증한다고 주장하는 브라우저 앱 중 하나(어떤 브라우저인지는 명시하지 않음)의 코드 조각 스크린샷을 게시했습니다. Xiaomi에 따르면 첫 번째 코드 조각은 "[그들이] 무작위로 생성된 고유 토큰을 생성하여 집계 사용 통계에 추가하는 방법"에 대한 디컴파일된 방법을 보여줍니다. 그들은 "이것들은 토큰은 어떤 개인에게도 해당하지 않습니다." 다음 코드 조각은 브라우저의 소스 코드에서 나온 것으로 보이며 "Mi 브라우저가 시크릿 모드에서 작동하는 방식을 보여줍니다. 사용자 검색 데이터가 동기화됩니다." 세 번째 코드 조각은 Xiaomi가 수집한 집계된 사용 통계가 "Xiaomi의 도메인에 저장"되고 센서로 전달되지 않음을 보여줍니다. 해석학. 마지막으로 네 번째 이미지는 "사용 통계 데이터가 TLS 1.2 암호화의 HTTPS 프로토콜로 전송되는 것을 보여줍니다."
모든 것을 마무리하기 위해 Xiaomi는 소프트웨어가 TrustArc 및 BSI(British Standard Institution)로부터 받은 4가지 인증을 인용합니다. 이러한 인증에는 ISO27001:2013, ISO27018:2014, ISO29151:2017 및 TRUSTe가 포함됩니다.
이 블로그 게시물에 대한 응답으로 사이버 보안 연구원 Andrew Tierney는 트위터에 올라왔다 Xiaomi의 주장을 반박합니다. 그는 그와 다른 몇몇 사람들이 여러 장치에서 결과를 재확인했다고 말했습니다. "민트 브라우저가 검색어와 URL을 전송하는 동안에는 의심의 여지가 없습니다. 시크릿 모드에서." 그는 Xiaomi가 게시한 코드가 "무작위로 생성된 고유 토큰"이 개인과 연관될 수 없다는 것을 보여주지 않는다고 말합니다. 연구원들은 UUID가 탐색 세션 전반에 걸쳐 지속 그리고 변경사항만 브라우저를 다시 설치하면. Xiaomi가 데이터를 자체 서버에만 저장하는지 아니면 다른 곳에 저장하는지 여부도 연구원에게는 논쟁거리가 아니었습니다. 또한 연구원은 Xiaomi가 원격 서버로 데이터를 보낸 혐의로 기소되지 않았다고 밝혔습니다. 안전하지 않은 방법을 통해 —Mr. Tierney는 현재 문제가 되고 있는 데이터 자체라고 지적합니다. 전송된.
Xiaomi가 이러한 주장을 직접적으로 해결하는 것을 보게 되어 기쁘지만 현시점에서 그 설명은 연구원들을 만족시키지 못하는 것 같습니다. 우리는 앞으로의 발전을 위해 이 이야기를 계속 지켜볼 것입니다.
업데이트 2: Xiaomi는 다음 브라우저 업데이트에서 옵트아웃 옵션을 제공합니다.
Xiaomi가 업데이트했습니다. 블로그 게시물 Mint Browser 및 Mi Browser의 다음 업데이트에는 "집계된" 데이터 수집을 끄는 시크릿 모드 옵션이 포함될 것임을 발표합니다. 소프트웨어 업데이트는 오늘 승인을 위해 Google Play 스토어에 제출될 예정이며 곧 사용자에게 제공될 예정입니다.
이 데이터 수집이 시크릿 모드 내에서 기본적으로 활성화되어 있는지 여부는 아직 알 수 없습니다. 우리는 그렇지 않기를 바랍니다. 그럼에도 불구하고 수신 거부 옵션을 사용하면 일부 개인 정보 보호 문제를 해결할 수 있습니다.
업데이트 3: Xiaomi는 시크릿 데이터 수집 토글을 명확히 하기 위해 Mi 브라우저와 Mint 브라우저를 업데이트하고 있습니다.
Xiaomi는 새로운 설정 토글을 통해 개인 정보 보호 문제를 해결했지만 실제로 발생한 일은 토글에 사용된 언어가 오해의 소지가 있어 작성된 내용과 반대되는 결과를 낳았습니다. 처럼 안드로이드 권한 지적, “향상된 시크릿 모드” 토글이 말했습니다: “시크릿 모드가 켜져 있으면 집계된 데이터 통계가 업로드되지 않습니다.”, 이로 인해 사용자는 토글을 켜면 이 진술이 사실이 될 것이라고 믿게 되었습니다. 그러나 사실은 그렇지 않았습니다. 이 문구는 토글의 현재 상태를 반영했으며 스위치를 뒤집어 변경하는 참/거짓 진술이 아닙니다.
오래된 행동
이제 Xiaomi는 이 토글에서 더 나은 언어를 사용하도록 Mi Browser와 Mint Browser를 업데이트했습니다. 이제 토글은 "Mi/Mint 브라우저 개선에 도움을 주세요.", 그리고 첨부된 텍스트에는 "시크릿 모드가 켜져 있을 때 사용 통계를 공유하려면 켜세요.", 스위치를 켜도 텍스트는 동일하게 유지됩니다. 이는 설정의 목적과 활성 상태를 훨씬 더 명확하게 보여줍니다.
새로운 행동
두 버전 모두 시크릿 모드에서 데이터를 수집하지 않으려면 토글이 꺼진 상태에 있어야 합니다. 상태를 더 잘 반영하기 위해 변경되는 텍스트일 뿐입니다. 두 브라우저 모두에 대한 새로운 업데이트가 Google Play 스토어에 푸시되고 있습니다.