Kiberdrošības pētnieki ir atklājuši pierādījumus tam, ka Xiaomi pārlūkprogrammas ir apkopojušas informāciju par pārlūkošanas datiem pat inkognito režīmā. Lasiet tālāk, lai uzzinātu vairāk!
3. atjauninājums (21.05.2020. plkst. 01:48 ET): Xiaomi ir atjauninājis pārlūkprogrammas iestatījumus, lai tie būtu skaidrāki, novēršot iepriekšējo neskaidrību.
2. atjauninājums (05.03.2020. plkst. 10:14 ET): Savā emuāra ziņojuma atjauninājumā Xiaomi ir minējis, ka tā pārlūkprogrammas tiks atjauninātas ar iespēju lietotājiem atteikties no izsekošanas inkognito režīmā.
Atjauninājums 1 (01.05.2020 plkst. 15:36 EST): Xiaomi ir publicējis emuāra ierakstu, atbildot uz šiem apgalvojumiem. Ritiniet uz leju, lai iegūtu atjauninājumu. Sākotnējais stāsts, kas publicēts 2020. gada 1. maijā, plkst. 06:18 pēc austrumu laika, ir šāds.
Xiaomi viedtālruņi ir vienbalsīgi atzīti par vienu no labākajiem pirkumiem, kas pieejami tirgū jebkurā brīdī. Dažu iepakošana ārprātīga aparatūra dažos ļoti ienesīgos cenu punktos, it īpaši viedtālruņu tirgus apakšējā daļā
, šie tālruņi izsaka piedāvājumu, no kura daudzi vienkārši nevar atteikties. Xiaomi ir uzņēmies arī izstrādātāju kopienas vajadzības, pieņemot tādus lēmumus kā ļaujot bootloader atbloķēt, neupurējot ražotāja garantiju — kombinācija, ko daudzi citi populāri oriģinālo iekārtu ražotāji atsakās, kā arī ievērojami uzlabo to kodola avota izlaidumi. Šo iemeslu dēļ tās ir viena no populārākajām ierīcēm mūsu forumos, un tās ir pamatoti izpelnījušās šo popularitātes vietu.Tomēr jaunākie drošības pētnieku ziņojumi norāda uz satraucošu privātuma problēmu, kas novērota Xiaomi tīmekļa pārlūkprogrammās. Forbes kiberdrošības līdzstrādnieks un asociētais redaktors Tomass Brūsters, kopā ar kiberdrošības pētniekiem Gabriels Cirligs un Endrjū Tīrnijs nesen secināts ziņojumā ka Xiaomi dažādās tīmekļa pārlūkprogrammas sūtīja datus attāliem serveriem. Viņi apgalvo, ka nosūtītie dati ietvēra visu apmeklēto vietņu vēsturi, tostarp vietrāžus URL, visus meklētājprogrammu vaicājumus un visus vienumus, kas skatīti Xiaomi ziņu plūsmā, kā arī ierīci metadati. Pat satraucoši par šo datu vākšanas apgalvojumu ir tas, ka šie dati tiek vākti pat tad, ja šķietami pārlūkojat ar iespējotu "inkognito režīmu".
Šķiet, ka šī datu vākšana notiek MIUI iepriekš instalētajā akciju pārlūkprogrammā, kā arī Mi Browser Pro un Piparmētru pārlūks, kuras abas ir pieejamas lejupielādei Google Play veikalā. Kopā šīm pārlūkprogrammām Play veikalā ir vairāk nekā 15 miljoni lejupielāžu, savukārt krājuma pārlūkprogramma ir iepriekš ielādēta visās Xiaomi ierīcēs. Pārbaudītās ierīces ietver Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 un Xiaomi Mi Mix 3. Nebija atšķirības starp Xiaomi Android One vai MIUI ierīcēm, jo kolekcijas kods tik un tā tika atrasts noklusējuma pārlūkprogrammā. Šķiet, ka šī problēma nav vērsta uz MIUI, bet ir atkarīga no tā, vai savā ierīcē izmantojat kādu no šīm trim pārlūkprogrammām neatkarīgi no pamatā esošās OS. Citas pārlūkprogrammas, piemēram, Google Chrome un Apple Safari, savāc daudz mazāk datu, ierobežojot to izmantošanu un avāriju analīzi.
Xiaomi atbildēja, šķietami apstiprinot, ka tā apkopotie pārlūkošanas dati pilnībā atbilst vietējiem likumiem un noteikumiem par lietotāju datu privātuma jautājumiem. Apkopotā informācija tika veikta ar lietotāju piekrišanu un tika anonimizēta. Tomēr uzņēmums noliedza apgalvojumus pētījumā.
Pētījuma apgalvojumi ir nepatiesi. Privātums un drošība ir galvenās bažas.
Šajā videoklipā ir parādīta anonīmu pārlūkošanas datu vākšana, kas ir viens no visizplatītākajiem risinājumiem interneta uzņēmumiem, lai uzlabotu vispārējo pārlūkprogrammas produktu pieredzi, analizējot personu neidentificējamus informāciju.
Tomēr pētnieki uzskatīja, ka šis apgalvojums par anonimitāti ir apšaubāms. Dati, ko Xiaomi sūtīja, noteikti bija "šifrēti", taču tie tika kodēti base64, ko var viegli atšifrēt. Tā kā pārlūkošanas dati var būt atšifrēts diezgan triviālā veidā, un, tā kā apkopotie dati ietvēra arī ierīces metadatus, šie pārlūkošanas dati varētu būt saistīti ar atsevišķu lietotāju darbībām bez ievērojamas piepūles.
Turklāt pētnieki atklāja, ka Xiaomi pārlūkprogrammas izmantoja ar Sensoriem saistītus domēnus Analytics — Ķīnas starta uzņēmums, kas pazīstams arī kā Sensors Data, kas pazīstams ar uzvedības analītikas nodrošināšanu pakalpojumus. Pārlūkprogrammās bija arī API ar nosaukumu SensorDataAPI. Xiaomi ir arī norādīts kā klients vietnē Sensoru datu vietne.
Xiaomi ir atbildējis uz Forbes ziņojumu, noliedzot vairākus aspektus:
Lai gan Sensors Analytics nodrošina Xiaomi datu analīzes risinājumu, savāktie anonīmie dati ir tiek glabāti paša Xiaomi serveros un netiks kopīgoti ar Sensors Analytics vai citām trešajām pusēm. kompānijas.
Pētnieki atbildēja pret Xiaomi noliegumu ar papildu pierādījums savu datu vākšanas praksi.
Ņemot vērā pieejamo informāciju, šķiet, ka šo pārlūkprogrammu darbībā ir satraucoša privātuma problēma. Mēs esam sazinājušies ar Xiaomi, lai saņemtu papildu komentārus par šiem apgalvojumiem.
Avots: Forbes
1. atjauninājums: Xiaomi atbild emuāra ziņā
In an oficiālais emuāra ieraksts vietnē Mi.com Xiaomi stingri noliedza apgalvojumus, ka viņi pārkāpj lietotāju privātumu.
"Xiaomi bija vīlies, izlasot neseno Forbes rakstu. Mēs uzskatām, ka viņi ir pārpratuši mūsu sniegto informāciju par mūsu datu privātuma principiem un politiku. Mūsu lietotāja privātums un interneta drošība ir galvenā Xiaomi prioritāte; mēs esam pārliecināti, ka stingri sekojam vietējiem likumiem un noteikumiem un pilnībā atbilstam tiem. Mēs esam sazinājušies ar Forbes, lai sniegtu skaidrību par šo neveiksmīgo nepareizo interpretāciju.
Uzņēmums apstiprina, ka vāc "apkopotus lietošanas statistikas datus", kas ietver "sistēmas informāciju, preferences, lietotāja interfeisa funkciju izmantošanu, reaģētspēja, veiktspēja, atmiņas lietojums un avāriju ziņojumi." Tie norāda, ka šo informāciju "vienu nevar izmantot, lai identificētu nevienu personu." Viņi apstiprina ka vietrāži URL tiek apkopoti, bet tas tiek darīts, lai "noteiktu tīmekļa lapas, kuras tiek ielādētas lēni", lai tās varētu noskaidrot, "kā vislabāk uzlabot vispārējo pārlūkošanu sniegums."
Tālāk uzņēmums norāda, ka tiek sinhronizēta individuālā pārlūkošanas datu vēsture, bet tas tiek darīts tikai tad, kad "lietotājs ir pierakstījies Mi kontā... un ir iestatīta datu sinhronizācijas funkcija sadaļā Iestatījumi uz "Ieslēgts". Viņi noliedz, ka pārlūkošanas dati, izņemot iepriekš minētos apkopotos lietošanas statistikas datus, tiek sinhronizēti, kad lietotājs ir iespējojis inkognito režīmu.
Pēc tam Xiaomi publicēja ekrānuzņēmumus ar koda fragmentiem no vienas no viņu pārlūkprogrammas lietotnēm (tomēr viņi nenorādīja, kura pārlūkprogramma), kas, pēc viņu domām, demonstrē viņu viedokli. Pirmais koda fragments, saskaņā ar Xiaomi, parāda dekompilētu metodi, "kā [viņi] izveido nejauši ģenerētus unikālus marķierus, ko pievienot apkopotajai lietošanas statistikai". Viņi norāda, ka "šīs marķieri neatbilst nevienai personai." Nākamais koda fragments šķietami ir no pārlūkprogrammas pirmkoda un parāda metodi, "kā Mi pārlūkprogramma darbojas inkognito režīmā, kur nav lietotāju pārlūkošanas dati tiks sinhronizēti." Trešais koda fragments parāda, ka Xiaomi apkopotā lietošanas statistika tiek "glabāta Xiaomi domēnā" un netiek nodota sensoram. Analytics. Visbeidzot, ceturtais attēls "rāda, ka lietojuma statistikas dati tiek pārsūtīti, izmantojot HTTPS protokolu ar TLS 1.2 šifrēšanu."
Lai to novērstu, Xiaomi atsaucas uz 4 sertifikātiem, ko viņu programmatūra ir saņēmusi no TrustArc un British Standard Institution (BSI). Šie sertifikāti ietver ISO27001:2013, ISO27018:2014, ISO29151:2017 un TRUSTe.
Atbildot uz šo emuāra ziņu, kiberdrošības pētnieks Endrjū Tīrnijs paņēma Twitter lai atspēkotu Xiaomi apgalvojumus. Viņš norāda, ka viņš un vairāki citi atkārtoti apstiprināja atklājumus vairākās ierīcēs — ka nav šaubu, ka naudas kaltuves pārlūkprogramma nosūta meklēšanas vienumus un URL, kamēr inkognito režīmā." Viņš norāda, ka Xiaomi publicētais kods nepierāda, ka viņu "nejauši ģenerētos unikālos marķierus" nevar saistīt ar indivīdiem. Pētnieki atzīmē, ka UUID šķiet saglabājas visu pārlūkošanas sesiju laikā un tikai mainās kad pārlūkprogramma tiek atkārtoti instalēta. Tas, vai Xiaomi glabā datus tikai savos serveros vai citur, arī pētniekam nebija strīda punkts. Turklāt pētnieks norāda, ka Xiaomi netika apsūdzēts par datu nosūtīšanu uz attāliem serveriem. izmantojot nedrošas metodes — Mr. Tīrnijs atzīmē, ka aktuālā problēma ir paši dati, kas tiek iegūti nosūtīts.
Mēs priecājamies redzēt, ka Xiaomi tieši pievēršas šiem apgalvojumiem, taču šķiet, ka skaidrojums šobrīd neapmierina pētniekus. Mēs sekosim šim stāstam tālākai attīstībai.
2. atjauninājums: Xiaomi nākamajā pārlūkprogrammas atjauninājumā piedāvās atteikšanās iespēju
Xiaomi ir atjauninājis savu emuāra ieraksts paziņot, ka nākamajā Mint Browser un Mi Browser atjauninājumā tiks iekļauta opcija inkognito režīmā, lai izslēgtu "apkopoto" datu vākšanu. Programmatūras atjauninājumi šodien tiks iesniegti apstiprināšanai Google Play veikalā, un tiem vajadzētu būt pieejamiem lietotājiem diezgan drīz.
Joprojām ir redzams, vai šī datu vākšana pēc noklusējuma paliks iespējota inkognito režīmā vai nē. Mēs ceram, ka tā nav. Tomēr atteikšanās iespēja palīdz novērst dažas privātuma problēmas.
3. atjauninājums: Xiaomi atjaunina savu Mi pārlūkprogrammu un Mint pārlūku, lai precizētu inkognito datu vākšanas pārslēgšanu
Lai gan Xiaomi risināja privātuma problēmas, izmantojot jaunu iestatījumu pārslēgšanu, patiesībā notika tas, ka pārslēgšanai izmantotā valoda bija maldinoša, panākot pretējo rakstītajam. Kā Android iestāde norāda, "uzlabots inkognito režīms"slēdzis teica: "Ja ir ieslēgts inkognito režīms, apkopotā datu statistika netiks augšupielādēta”, kas lika lietotājiem domāt, ka, pārslēdzot slēdzi, šis apgalvojums būs patiess. Taču tas tā nebija. Formulējums atspoguļoja pašreizējo slēdža stāvokli, un tas nebija patiess/nepatiess apgalvojums, ko maināt, pagriežot slēdzi.
Vecā uzvedība
Tagad Xiaomi ir atjauninājis Mi Browser un Mint Browser, lai šai pārslēgšanai būtu labāka valoda. Pārslēgt tagad sauc par "Palīdziet mums uzlabot Mi/Mint pārlūkprogrammu", un pavadošais teksts saka:Ieslēdziet, lai kopīgotu ar mums lietošanas statistiku, kad ir ieslēgts inkognito režīms", pārslēdzot slēdzi, teksts paliek nemainīgs. Tas ir daudz skaidrāks attiecībā uz iestatījuma mērķi un aktīvo stāvokli.
Jauna uzvedība
Abās versijās slēdzim ir jābūt izslēgtā stāvoklī, ja nevēlaties, lai jūsu dati tiktu apkopoti inkognito režīmā. Tas ir tikai teksts, kas mainās, lai labāk atspoguļotu stāvokli. Jaunais abu pārlūkprogrammu atjauninājums tiek ievietots Google Play veikalā.