Tyrėjai kaltina „Xiaomi“ interneto naršykles renkant naršymo duomenis

Kibernetinio saugumo tyrinėtojai rado įrodymų, kad „Xiaomi“ naršyklės renka naršymo duomenų informaciją net inkognito režimu. Skaitykite toliau, kad sužinotumėte daugiau!

3 atnaujinimas (2020-05-21, 01:48 ET): „Xiaomi“ atnaujino savo naršyklės nustatymus, kad būtų aiškesnė jų paskirtis ir pašalinta ankstesnė painiava.

2 atnaujinimas (2020-05-03 10:14 ET): Savo tinklaraščio įrašo atnaujinime „Xiaomi“ paminėjo, kad jos naršyklės bus atnaujintos su galimybe, leidžiančia vartotojams atsisakyti stebėjimo inkognito režimu.

1 atnaujinimas (2020-05-01, 15:36 EST): Atsakydamas į šiuos kaltinimus, „Xiaomi“ paskelbė tinklaraščio įrašą. Norėdami atnaujinti, slinkite žemyn. Originali istorija, paskelbta 2020 m. gegužės 1 d., 06:18 EST, yra tokia.

Vienbalsiai sutariama, kad „Xiaomi“ išmanieji telefonai bet kuriuo metu yra vienas iš geriausių kainos ir kokybės santykio pirkinių rinkoje. Kai kurių pakavimas beprotiška aparatūra kai kuriais labai pelningomis kainomis, ypač žemesnėje išmaniųjų telefonų rinkoje

, šie telefonai pateikia pasiūlymą, kurio daugelis žmonių tiesiog negali atsisakyti. „Xiaomi“ taip pat buvo imlus kūrėjų bendruomenės poreikiams, priimdamas tokius sprendimus kaip leidžianti atrakinti įkrovos tvarkyklę neprarandant gamintojo garantijos – derinys, kurį daugelis kitų populiarių originalios įrangos gamintojų atsisako ir gerokai patobulina savo branduolio šaltinio leidimai. Dėl šių priežasčių jie yra vienas populiariausių įrenginių mūsų forumuose ir pelnytai pelnė tą populiarumo vietą.

Tačiau naujausi saugumo tyrinėtojų pranešimai rodo nerimą keliančią privatumo problemą, pastebėtą „Xiaomi“ interneto naršyklėse. „Forbes“ kibernetinio saugumo bendradarbis ir asocijuotasis redaktorius Tomas Brewsteris, kartu su kibernetinio saugumo tyrinėtojais Gabrielius Cirligas ir Andrew Tierney neseniai padarė išvadą ataskaitoje kad įvairios „Xiaomi“ interneto naršyklės siųsdavo duomenis į nuotolinius serverius. Jie teigia, kad siunčiami duomenys apėmė visų aplankytų svetainių istoriją, įskaitant URL, visas paieškos variklio užklausas ir visus elementus, peržiūrėtus „Xiaomi“ naujienų kanale, kartu su įrenginiu metaduomenys. Netgi nerimą kelia šis kaltinimas dėl duomenų rinkimo yra tai, kad šie duomenys renkami, net jei atrodo, kad naršote įjungę „inkognito režimą“.

Atrodo, kad šie duomenys renkami iš anksto įdiegtoje atsargų naršyklėje MIUI, taip pat Mi Browser Pro ir Mėtų naršyklė, kuriuos abu galima atsisiųsti iš „Google Play“ parduotuvės. Kartu šios naršyklės „Play“ parduotuvėje atsisiunčiamos daugiau nei 15 milijonų kartų, o atsarginė naršyklė yra iš anksto įkelta visuose „Xiaomi“ įrenginiuose. Tarp išbandytų įrenginių yra „Xiaomi Redmi Note 8“, „Xiaomi Mi A1“, „Xiaomi Mi 10“, „Xiaomi Redmi K20“ ir „Xiaomi Mi Mix 3“. Nebuvo skirtumo tarp „Xiaomi“ „Android One“ ar MIUI įrenginių, nes kolekcijos kodas vis tiek buvo rastas numatytojoje naršyklėje. Atrodo, kad ši problema nėra orientuota į MIUI, bet priklauso nuo to, ar savo įrenginyje naudojate kurią nors iš šių trijų naršyklių, neatsižvelgiant į pagrindinę OS. Kitos naršyklės, pvz., „Google Chrome“ ir „Apple Safari“, renka daug mažiau duomenų, apsiribodamos naudojimu ir gedimų analize.

„Xiaomi“ atsakė tarsi patvirtindama, kad jos renkami naršymo duomenys visiškai atitinka vietinius įstatymus ir reglamentus, reglamentuojančius naudotojų duomenų privatumą. Surinkta informacija buvo sutikusi naudotojo ir anonimizuota. Tačiau bendrovė paneigė tyrime pateiktus teiginius.

Tyrimo teiginiai neatitinka tikrovės. Privatumas ir saugumas kelia didžiausią susirūpinimą.

Šiame vaizdo įraše rodomas anoniminių naršymo duomenų rinkimas, kuris yra vienas iš dažniausiai naudojamų sprendimų interneto įmonės, siekdamos pagerinti bendrą naršyklės produkto patirtį analizuodamos neidentifikuojamus asmenis informacija.

Tačiau mokslininkai nustatė, kad šis anonimiškumo teiginys yra abejotinas. „Xiaomi“ siunčiami duomenys, žinoma, buvo „užšifruoti“, tačiau jie buvo užkoduoti „base64“, kurį galima lengvai iššifruoti. Kadangi naršymo duomenys gali būti iššifruoti gana trivialiu būdu, o kadangi surinktuose duomenyse taip pat buvo įrenginio metaduomenų, šie naršymo duomenys gali būti koreliuojami su atskirų vartotojų veiksmais be didelių pastangų.

Be to, mokslininkai išsiaiškino, kad „Xiaomi“ naršyklės pingo domenus, susijusius su jutikliais „Analytics“, Kinijos startuolis, dar žinomas kaip „Sensors Data“, žinomas kaip elgsenos analizės teikimas paslaugos. Naršyklėse taip pat buvo API, vadinama SensorDataAPI. „Xiaomi“ taip pat įtraukta į klientų sąrašą Sensors Data svetainė.

„Xiaomi“ atsakė į „Forbes“ pranešimą neigiamai keliais aspektais:

Nors „Sensors Analytics“ teikia „Xiaomi“ duomenų analizės sprendimą, renkami anoniminiai duomenys yra tokie saugomi paties „Xiaomi“ serveriuose ir nebus bendrinami su „Sensors Analytics“ ar bet kokia kita trečiąja šalimi. įmonių.

Tyrėjai atsakė į „Xiaomi“ neigimą tolesnis įrodymas savo duomenų rinkimo praktikos.

Turint omenyje turimą informaciją, atrodo, kad šių naršyklių veikimas kelia nerimą privatumo problemų. Susisiekėme su „Xiaomi“, kad gautume daugiau komentarų dėl šių teiginių.

Šaltinis: Forbes

1 atnaujinimas: „Xiaomi“ atsako tinklaraščio įraše

In an oficialus tinklaraščio įrašas Mi.com svetainėje „Xiaomi“ griežtai atmetė kaltinimus, kad jie pažeidžia vartotojų privatumą.

„Xiaomi nusivylė perskaičiusi naujausią „Forbes“ straipsnį. Manome, kad jie neteisingai suprato tai, ką mes perdavėme dėl mūsų duomenų privatumo principų ir politikos. Mūsų vartotojo privatumas ir interneto saugumas yra svarbiausias „Xiaomi“ prioritetas; esame įsitikinę, kad griežtai laikomės ir visiškai laikomės vietinių įstatymų ir taisyklių. Kreipėmės į Forbes, kad paaiškintume šį apgailėtiną klaidingą interpretaciją.

Bendrovė patvirtina, kad renka „suvestinius naudojimo statistikos duomenis“, įskaitant „sistemos informaciją, nuostatas, vartotojo sąsajos funkcijų naudojimą, reagavimo, našumo, atminties naudojimo ir gedimų ataskaitos." Jie teigia, kad ši informacija "viena negali būti naudojama bet kurio asmens tapatybei nustatyti". Jie patvirtina kad URL yra renkami, bet tai daroma siekiant „atpažinti tinklalapius, kurie įkeliami lėtai“, kad jie galėtų išsiaiškinti, „kaip geriausiai pagerinti bendrą naršymą spektaklis."

Be to, bendrovė teigia, kad atskirų naršymo duomenų istorija yra sinchronizuojama, tačiau tai daroma tik tada, kai „vartotojas yra prisijungęs prie Mi paskyros ir nustatyta duomenų sinchronizavimo funkcija Į „Įjungta“ skiltyje „Nustatymai“. Jie neigia, kad naršymo duomenys, išskyrus pirmiau minėtus apibendrintus naudojimo statistikos duomenis, yra sinchronizuojami, kai vartotojas įjungia inkognito režimą.

Tada „Xiaomi“ paskelbė vienos iš savo naršyklės programų kodo fragmentų ekrano kopijas (tačiau nenurodė, kuri naršyklė), kurios, jų teigimu, parodo savo mintis. Pirmasis kodo fragmentas, pasak „Xiaomi“, rodo dekompiliuotą metodą, „kaip [jie] sukuria atsitiktinai sugeneruotus unikalius prieigos raktus, kuriuos galima pridėti prie bendros naudojimo statistikos“. Jie teigia, kad „šie žetonai neatitinka jokių asmenų. naudotojo naršymo duomenys bus sinchronizuojami.“ Trečiasis kodo fragmentas parodo, kad „Xiaomi“ renkama bendra naudojimo statistika „saugoma Xiaomi domene“ ir neperduodama jutikliui. Analizė. Galiausiai ketvirtasis paveikslėlis „rodo, kad naudojimo statistiniai duomenys perduodami naudojant TLS 1.2 šifravimo HTTPS protokolą“.

Siekdama viską užbaigti, „Xiaomi“ nurodo 4 sertifikatus, kuriuos jų programinė įranga gavo iš „TrustArc“ ir „British Standard Institution“ (BSI). Šie sertifikatai apima ISO27001:2013, ISO27018:2014, ISO29151:2017 ir TRUSTe.

Atsakydamas į šį tinklaraščio įrašą, kibernetinio saugumo tyrinėtojas Andrew Tierney pateko į Twitter paneigti Xiaomi teiginius. Jis teigia, kad jis ir keli kiti dar kartą patvirtino išvadas keliuose įrenginiuose – kad „neabejotina, kad „Mint Browser“ siunčia paieškos terminus ir URL adresus. Inkognito režimu.“ Jis teigia, kad „Xiaomi“ paskelbtas kodas neįrodo, kad jų „atsitiktinai sugeneruoti unikalūs žetonai“ negali būti susieti su asmenimis. Tyrėjai pažymi, kad atrodo, kad UUID išlieka per naršymo sesijas ir tik keičiasi kai naršyklė bus įdiegta iš naujo. Nesvarbu, ar „Xiaomi“ saugo duomenis tik savo serveriuose, ar kitur, tyrėjui taip pat nekilo ginčų. Be to, tyrėjas teigia, kad „Xiaomi“ nebuvo apkaltintas duomenų siuntimu į nuotolinius serverius. nesaugiais metodais – p. Tierney pažymi, kad aktuali problema yra patys duomenys išsiųstas.

Džiaugiamės matydami, kad „Xiaomi“ tiesiogiai atsižvelgė į šiuos kaltinimus, tačiau panašu, kad paaiškinimas šiuo metu tyrėjų netenkina. Stebėsime šią istoriją dėl tolimesnių įvykių.


2 naujinimas: „Xiaomi“ pasiūlys atsisakymo parinktį kitame naršyklės atnaujinime

„Xiaomi“ atnaujino savo tinklaraščio straipsnis pranešti, kad kitame „Mint Browser“ ir „Mi Browser“ atnaujinime bus inkognito režimo parinktis, leidžianti išjungti „suvestų“ duomenų rinkimą. Programinės įrangos atnaujinimai šiandien bus pateikti patvirtinti „Google Play“ parduotuvei ir netrukus turėtų būti pasiekiami vartotojams.

Belieka išsiaiškinti, ar šis duomenų rinkimas išliks įjungtas pagal numatytuosius nustatymus inkognito režimu, ar ne. Tikimės, kad ne. Vis dėlto galimybė atsisakyti gali padėti išspręsti kai kurias privatumo problemas.


3 naujinimas: „Xiaomi“ atnaujina savo „Mi“ ir „Mint“ naršyklę, kad paaiškintų savo inkognito duomenų rinkimo jungiklį

Nors „Xiaomi“ išsprendė privatumo problemas naudodamas naują nustatymų perjungimą, iš tikrųjų atsitiko tai, kad perjungimui naudojama kalba buvo klaidinanti, todėl buvo pasiekta priešingai nei parašyta. Kaip Android institucija atkreipia dėmesį į, "patobulintas inkognito režimas“ perjungiklis pasakė: „Sukaupta duomenų statistika nebus įkeliama, kai įjungtas inkognito režimas“, todėl vartotojai patikėjo, kad įjungus jungiklį, šis teiginys bus teisingas. Tačiau taip nebuvo. Formuluotė atspindėjo dabartinę perjungimo būseną ir nebuvo teisingas / klaidingas teiginys, kurį pakeisite apversdami jungiklį.

Senas elgesys

Dabar „Xiaomi“ atnaujino „Mi“ ir „Mint“ naršykles, kad būtų geresnė šio perjungimo kalba. Dabar perjungiklis vadinamas "Padėkite mums tobulinti Mi/Mint naršyklę“, o lydimas tekstas sako „Įjunkite, kad su mumis bendrintumėte naudojimo statistiką, kai įjungtas inkognito režimas“, o tekstas išlieka toks pat, kai perjungiate jungiklį. Tai daug aiškesnis tikslas ir aktyvi nustatymo būsena.

Naujas elgesys

Abiejose versijose perjungiklis turi būti išjungtas, jei nenorite, kad jūsų duomenys būtų renkami inkognito režimu. Tiesiog tekstas keičiasi, kad geriau atspindėtų būseną. Naujas abiejų naršyklių atnaujinimas perkeliamas į „Google Play“ parduotuvę.