Badacze zajmujący się cyberbezpieczeństwem znaleźli dowody na to, że przeglądarki Xiaomi zbierają dane przeglądania nawet w trybie incognito. Czytaj dalej, aby dowiedzieć się więcej!
Aktualizacja 3 (21.05.2020 o 01:48 ET): Xiaomi zaktualizowało ustawienia swojej przeglądarki, aby były jaśniejsze w swoim celu, usuwając wcześniejsze zamieszanie.
Aktualizacja 2 (05.03.2020 o 10:14 ET): W aktualizacji wpisu na blogu firma Xiaomi wspomniała, że jej przeglądarki zostaną zaktualizowane o opcję umożliwiającą użytkownikom rezygnację ze śledzenia w trybie incognito.
Aktualizacja 1 (01.05.2020 o 15:36 EST): W odpowiedzi na te zarzuty Xiaomi opublikowało post na blogu. Przewiń w dół, aby wyświetlić aktualizację. Oryginalna historia, opublikowana 1 maja 2020 r. o godzinie 06:18 czasu wschodniego, jest następująca.
Smartfony Xiaomi jednomyślnie uznano za jeden z najtańszych zakupów dostępnych na rynku w dowolnym momencie. Pakowanie trochę szalony sprzęt w niektórych bardzo lukratywnych przedziałach cenowych,
zwłaszcza w dolnej części rynku smartfonówte telefony to oferta, której wiele osób nie może odrzucić. Xiaomi było również otwarte na potrzeby społeczności programistów, podejmując takie decyzje jak umożliwiając odblokowanie bootloadera bez utraty gwarancji producenta – kombinacja, którą wielu innych popularnych producentów OEM odrzuca, a także znacznie ją ulepsza wydania źródeł jądra. Z tych powodów są one jednym z najpopularniejszych urządzeń na naszych forach i słusznie zapracowały na tę popularność.Jednak ostatnie raporty badaczy bezpieczeństwa wskazują na niepokojący problem prywatności zaobserwowany w przeglądarkach internetowych Xiaomi. Współpracownik magazynu Forbes ds. cyberbezpieczeństwa i zastępca redaktora Thomasa Brewsterawraz z badaczami cyberbezpieczeństwa Gabriel Cirlig I Andrzeja Tierneya Ostatnio podsumowano w raporcie że różne przeglądarki internetowe Xiaomi wysyłały dane do zdalnych serwerów. Twierdzą, że przesyłane dane obejmowały historię wszystkich odwiedzonych stron internetowych, w tym adresy URL, wszystkie zapytania wyszukiwarek i wszystkie elementy wyświetlane w kanale informacyjnym Xiaomi wraz z urządzeniem metadane. Tym, co nawet niepokoi w związku z tym zarzutem dotyczącym gromadzenia danych, jest to, że dane te są gromadzone nawet wtedy, gdy pozornie przeglądasz z włączonym „trybem incognito”.
To gromadzenie danych najwyraźniej odbywa się również w preinstalowanej przeglądarce standardowej w MIUI Przeglądarka MiPro I Przeglądarka Mint, oba można pobrać w sklepie Google Play. Łącznie te przeglądarki mają ponad 15 milionów pobrań w Sklepie Play, a przeglądarka standardowa jest fabrycznie zainstalowana na wszystkich urządzeniach Xiaomi. Testowane urządzenia to Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 i Xiaomi Mi Mix 3. Nie było rozróżnienia między urządzeniami Xiaomi z Androidem One i MIUI, ponieważ kod kolekcji i tak został znaleziony w domyślnej przeglądarce. W związku z tym problem ten nie wydaje się być związany z MIUI, ale zależy od tego, czy korzystasz z którejkolwiek z tych trzech przeglądarek na swoim urządzeniu, niezależnie od bazowego systemu operacyjnego. Inne przeglądarki, takie jak Google Chrome i Apple Safari, zbierają znacznie mniej danych, ograniczając się do analiz użytkowania i awarii.
Xiaomi odpowiedziała, pozornie potwierdzając, że gromadzone przez nią dane przeglądania są w pełni zgodne z lokalnymi przepisami i regulacjami dotyczącymi kwestii prywatności danych użytkowników. Zebrane informacje zostały zanonimizowane za zgodą użytkownika. Jednak firma zaprzeczyła twierdzeniom zawartym w badaniu.
Twierdzenia badawcze są nieprawdziwe. Prywatność i bezpieczeństwo są dla nas najważniejsze.
Ten film pokazuje zbieranie anonimowych danych przeglądania, co jest jednym z najpopularniejszych rozwiązań stosowanych przez firmom internetowym w celu poprawy ogólnego doświadczenia z produktami przeglądarkowymi poprzez analizę danych nieosobowych Informacja.
Badacze uznali jednak to twierdzenie o anonimowości za wątpliwe. Dane, które wysyłał Xiaomi, były co prawda „zaszyfrowane”, jednak zostały zakodowane w formacie base64, który można łatwo rozszyfrować. Ponieważ dane przeglądania mogą być rozszyfrowany w dość banalny sposób, a ponieważ zebrane dane zawierały również metadane urządzenia, te dane przeglądania można pozornie powiązać z działaniami poszczególnych użytkowników bez większego wysiłku.
Co więcej, badacze odkryli, że przeglądarki Xiaomi pingowały domeny powiązane z czujnikami Analytics, chiński startup znany również jako Sensors Data, znany z dostarczania analiz behawioralnych usługi. Przeglądarki zawierały także interfejs API o nazwie SensorDataAPI. Xiaomi jest również wymienione jako klient na stronie Witryna internetowa z danymi czujników.
Xiaomi odpowiedziało na raport Forbesa zaprzeczeniem w kilku aspektach:
Chociaż Sensors Analytics zapewnia rozwiązanie do analizy danych dla Xiaomi, zebrane anonimowe dane są przechowywane na własnych serwerach Xiaomi i nie będą udostępniane firmie Sensors Analytics ani żadnej innej stronie trzeciej firmy.
Naukowcy odpowiedzieli na zaprzeczenie Xiaomi kolejny dowód swojej praktyki gromadzenia danych.
Na podstawie dostępnych informacji wydaje się, że w działaniu tych przeglądarek występuje niepokojący problem związany z prywatnością. Skontaktowaliśmy się z Xiaomi w celu uzyskania dalszego komentarza w sprawie tych twierdzeń.
Źródło: Forbesa
Aktualizacja 1: Xiaomi odpowiada w poście na blogu
w oficjalny wpis na blogu na Mi.com Xiaomi stanowczo zaprzeczyło zarzutom, jakoby naruszały prywatność użytkowników.
„Xiaomi była rozczarowana przeczytaniem niedawnego artykułu z Forbesa. Uważamy, że źle zrozumieli to, co przekazaliśmy w sprawie naszych zasad i polityki prywatności danych. Prywatność naszych użytkowników i bezpieczeństwo w Internecie są dla Xiaomi najwyższym priorytetem; mamy pewność, że ściśle przestrzegamy i jesteśmy w pełni zgodni z lokalnymi przepisami i regulacjami. Skontaktowaliśmy się z „Forbesem”, aby wyjaśnić tę niefortunną błędną interpretację.
Firma potwierdza, że gromadzi „zagregowane dane statystyczne dotyczące użytkowania”, które obejmują „informacje o systemie, preferencje, wykorzystanie funkcji interfejsu użytkownika, responsywność, wydajność, wykorzystanie pamięci i raporty o awariach.” Stwierdzają, że informacji tych „nie można samodzielnie wykorzystać do zidentyfikowania jakiejkolwiek osoby”. Potwierdzają że zbierane są adresy URL, ale ma to na celu „identyfikację stron internetowych, które ładują się powoli”, aby umożliwić im ustalenie, „jak najlepiej poprawić ogólne przeglądanie” wydajność."
Następnie firma twierdzi, że historia danych przeglądania poszczególnych osób jest synchronizowana, ale dzieje się to tylko wtedy, gdy „użytkownik jest zalogowany na koncie Mi… i ustawiona jest funkcja synchronizacji danych na „Wł.” w Ustawieniach.” Zaprzeczają, że dane przeglądania, oprócz wyżej wymienionych zbiorczych danych statystycznych użytkowania, są synchronizowane, gdy użytkownik włączył tryb incognito.
Następnie Xiaomi opublikowało zrzuty ekranu fragmentów kodu z jednej ze swoich aplikacji przeglądarkowych (nie określiła jednak, która przeglądarka), które ich zdaniem demonstrują swoje tezy. Według Xiaomi pierwszy fragment kodu przedstawia zdekompilowaną metodę „tworzenia losowo generowanych unikalnych tokenów w celu dołączenia ich do zbiorczych statystyk użytkowania”. Twierdzą, że „te tokeny nie odpowiadają żadnej osobie.” Następny fragment kodu najwyraźniej pochodzi z kodu źródłowego przeglądarki i pokazuje metodę „jak działa Mi Browser w trybie incognito, gdzie nie dane przeglądania użytkowników zostaną zsynchronizowane.” Trzeci fragment kodu pokazuje, że zagregowane statystyki użytkowania gromadzone przez Xiaomi są „przechowywane w domenie Xiaomi” i nie są przekazywane do czujnika Analityka. Wreszcie czwarty obraz „pokazuje, że dane statystyczne dotyczące użytkowania są przesyłane za pomocą protokołu HTTPS z szyfrowaniem TLS 1.2”.
Podsumowując, Xiaomi cytuje następnie 4 certyfikaty, które ich oprogramowanie otrzymało od TrustArc i British Standard Institution (BSI). Certyfikaty te obejmują ISO27001:2013, ISO27018:2014, ISO29151:2017 i TRUSTe.
W odpowiedzi na ten post na blogu badacz cyberbezpieczeństwa Andrew Tierney trafiło na Twittera obalić twierdzenia Xiaomi. Twierdzi, że on i kilka innych osób ponownie potwierdzili ustalenia na wielu urządzeniach – że „nie ma wątpliwości, że przeglądarka Mint wysyła wyszukiwane hasła i adresy URL podczas w trybie incognito.” Twierdzi, że kod opublikowany przez Xiaomi nie pokazuje, że ich „losowo wygenerowanych unikalnych tokenów” nie można powiązać z konkretnymi osobami. Naukowcy zauważają, że wydaje się, że UUID utrzymują się podczas sesji przeglądania i tylko zmiany po ponownej instalacji przeglądarki. To, czy Xiaomi przechowuje dane tylko na własnych serwerach, czy gdzie indziej, również nie było kwestią sporną dla badacza. Badacz stwierdza ponadto, że Xiaomi nie zostało oskarżone o wysyłanie danych na zdalne serwery za pomocą niepewnych metod — Mr. Tierney zauważa, że chodzi o same dane, które są przesyłane wysłano.
Cieszymy się, że Xiaomi bezpośrednio odniosło się do tych zarzutów, ale wyjaśnienie nie wydaje się w tym momencie zadowalać badaczy. Będziemy śledzić tę historię, aby poznać dalszy rozwój wydarzeń.
Aktualizacja 2: Xiaomi zaoferuje opcję rezygnacji w następnej aktualizacji przeglądarki
Xiaomi zaktualizowało swoje post na blogu ogłosić, że następna aktualizacja przeglądarek Mint i Mi Browser będzie zawierać opcję w trybie incognito umożliwiającą wyłączenie „zagregowanego” gromadzenia danych. Aktualizacje oprogramowania zostaną jeszcze dziś przesłane do sklepu Google Play do zatwierdzenia i wkrótce powinny być dostępne dla użytkowników.
Czas pokaże, czy to gromadzenie danych pozostanie domyślnie włączone w trybie incognito, czy nie. Mamy nadzieję, że tak nie jest. Mimo to możliwość rezygnacji rozwiązuje pewne problemy związane z prywatnością.
Aktualizacja 3: Xiaomi aktualizuje swoją przeglądarkę Mi i Mint Browser, aby wyjaśnić przełącznik gromadzenia danych incognito
Chociaż Xiaomi rozwiązało problemy związane z prywatnością, wprowadzając nowy przełącznik ustawień, w rzeczywistości język używany do przełączania wprowadzał w błąd, osiągając odwrotność tego, co napisano. Jak Władze Androida zwraca uwagę, „ulepszony tryb incognito” przełącznik powiedział: „Statystyki danych zbiorczych nie będą przesyłane, gdy włączony jest tryb incognito”, co doprowadziło użytkowników do przekonania, że włączenie przełącznika sprawi, że to stwierdzenie będzie prawdziwe. Ale tak nie było. Sformułowanie odzwierciedlało bieżący stan przełącznika i nie było stwierdzeniem typu prawda/fałsz, które można zmienić, przełączając przełącznik.
Stare zachowanie
Teraz Xiaomi zaktualizowało przeglądarki Mi Browser i Mint Browser, aby mieć lepszy język na tym przełączniku. Przełącznik nazywa się teraz „Pomóż nam ulepszyć przeglądarkę Mi/Mint„, a towarzyszący tekst mówi:”Włącz, aby udostępniać nam statystyki użytkowania, gdy włączony jest tryb incognito", a tekst pozostanie taki sam po przełączeniu przełącznika. Jest to znacznie bardziej jasne w odniesieniu do celu i aktywnego stanu ustawienia.
Nowe zachowanie
W obu wersjach przełącznik musi być wyłączony, jeśli nie chcesz, aby Twoje dane były gromadzone w trybie incognito. Zmienia się tylko tekst, aby lepiej odzwierciedlał stan. Nowa aktualizacja obu przeglądarek jest wypychana do sklepu Google Play.