Исследователи кибербезопасности обнаружили доказательства того, что браузеры Xiaomi собирают данные о просмотре даже в режиме инкогнито. Читайте дальше, чтобы узнать больше!
Обновление 3 (21.05.2020, 01:48 по восточному времени): Xiaomi обновила настройки своего браузера, чтобы их назначение было более ясным, устранив предыдущую путаницу.
Обновление 2 (03.05.2020, 10:14 по восточноевропейскому времени): В своем обновлении в блоге Xiaomi упомянула, что в ее браузерах будет добавлена возможность отказаться от отслеживания в режиме инкогнито.
Обновление 1 (01.05.2020, 15:36 по восточному стандартному времени): Xiaomi опубликовала сообщение в блоге в ответ на эти обвинения. Прокрутите вниз, чтобы увидеть обновление. Оригинальная история, опубликованная 1 мая 2020 года в 06:18 по восточному стандартному времени, выглядит следующим образом.
Смартфоны Xiaomi единодушно признаны одной из самых выгодных покупок, доступных на рынке в любой момент времени. Упаковка некоторых безумное оборудование по очень выгодным ценам,
особенно в нижнем сегменте рынка смартфонов, эти телефоны делают предложение, от которого многие люди просто не могут отказаться. Xiaomi также была восприимчива к потребностям сообщества разработчиков, приняв такие решения, как разрешение разблокировки загрузчика без ущерба для гарантии производителя — комбинация, от которой отказываются многие другие популярные OEM-производители, а также значительно улучшающая их выпуски исходного кода ядра. Эти причины делают их одними из самых популярных устройств на наших форумах, и они по праву заслужили это место.Однако недавние отчеты исследователей безопасности указывают на тревожную проблему конфиденциальности, наблюдаемую в веб-браузерах Xiaomi. Сотрудник и помощник редактора Forbes по кибербезопасности Томас Брюстервместе с исследователями кибербезопасности Габриэль Кирлиг и Эндрю Тирни недавно заключил в отчете что различные веб-браузеры Xiaomi отправляли данные на удаленные серверы. Они утверждают, что отправляемые данные включали историю всех посещенных веб-сайтов, включая URL-адреса, все запросы поисковых систем и все элементы, просмотренные в ленте новостей Xiaomi, а также устройство метаданные. Что беспокоит в этом обвинении в сборе данных, так это то, что эти данные собираются, даже если вы, по-видимому, просматриваете сайт с включенным «режимом инкогнито».
Этот сбор данных, судя по всему, происходит в предустановленном стоковом браузере на MIUI, а также Ми Браузер Про и Мятный браузер, оба из которых доступны для загрузки через Google Play Store. В совокупности эти браузеры загружены в Play Store более 15 миллионов раз, а стандартный браузер предварительно загружен на все устройства Xiaomi. В число протестированных устройств входят Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi Mix 3. Не было различия между устройствами Xiaomi Android One и MIUI, поскольку код коллекции все равно находился в браузере по умолчанию. Таким образом, эта проблема не связана с MIUI, а зависит от того, используете ли вы какой-либо из этих трех браузеров на своем устройстве, независимо от базовой ОС. Другие браузеры, такие как Google Chrome и Apple Safari, собирают гораздо меньше данных, ограничиваясь анализом использования и сбоев.
В ответ Xiaomi, по-видимому, подтвердила, что собираемые ею данные о просмотренных страницах полностью соответствуют местным законам и правилам по вопросам конфиденциальности пользовательских данных. Собранная информация была получена с согласия пользователя и анонимизирована. Однако компания опровергла утверждения, содержащиеся в исследовании.
Заявления исследования не соответствуют действительности. Конфиденциальность и безопасность имеют первостепенное значение.
В этом видео показан сбор анонимных данных просмотра, который является одним из наиболее распространенных решений, применяемых интернет-компаниям для улучшения общего качества работы с браузерными продуктами за счет анализа информации, не идентифицирующей личность. информация.
Однако исследователи сочли это заявление об анонимности сомнительным. Данные, которые отправляла Xiaomi, были, по общему признанию, «зашифрованы», но они были закодированы в формате Base64, который можно легко декодировать. Поскольку данные просмотра могут быть расшифровывается довольно тривиальным образом, а поскольку собранные данные также содержали метаданные устройства, эти данные просмотра можно было бы сопоставить с действиями отдельных пользователей без особых усилий.
Кроме того, исследователи обнаружили, что браузеры Xiaomi проверяли домены, связанные с датчиками. Analytics, китайский стартап, также известный как Sensors Data, известный предоставлением поведенческой аналитики. услуги. Браузеры также содержали API под названием SensorDataAPI. Xiaomi также указана в качестве клиента на Веб-сайт данных датчиков.
Xiaomi отреагировала на отчет Forbes опровержением нескольких аспектов:
Хотя Sensors Analytics предоставляет решение для анализа данных для Xiaomi, собранные анонимные данные хранятся на собственных серверах Xiaomi и не будут переданы Sensors Analytics или другим третьим лицам. компании.
Исследователи ответили на опровержение Xiaomi дальнейшее доказательство своей практики сбора данных.
Судя по имеющейся информации, в работе этих браузеров действительно существует тревожная проблема конфиденциальности. Мы обратились к Xiaomi за дополнительными комментариями по поводу этих претензий.
Источник: Форбс
Обновление 1: ответ Xiaomi в сообщении в блоге
В официальный пост в блоге На Mi.com компания Xiaomi категорически отвергла обвинения в нарушении конфиденциальности пользователей.
«Xiaomi была разочарована, прочитав недавнюю статью Forbes. Мы считаем, что они неправильно поняли то, что мы сообщили относительно наших принципов и политики конфиденциальности данных. Конфиденциальность наших пользователей и интернет-безопасность являются для Xiaomi главным приоритетом; мы уверены, что строго соблюдаем и полностью соблюдаем местные законы и правила. Мы обратились к Forbes, чтобы прояснить это досадное неверное толкование».
Компания подтверждает, что собирает «агрегированные данные статистики использования», которые включают «системную информацию, настройки, использование функций пользовательского интерфейса, отзывчивость, производительность, использование памяти и отчеты о сбоях». Они заявляют, что эта информация «не может быть использована сама по себе для идентификации какого-либо человека». что URL-адреса собираются, но это делается для того, чтобы «идентифицировать веб-страницы, которые загружаются медленно», чтобы они могли выяснить, «как лучше всего улучшить общий просмотр производительность."
Далее компания заявляет, что индивидуальная история просмотров данных синхронизируется, но это делается только тогда, когда «пользователь вошел в учетную запись Mi... и установлена функция синхронизации данных». установите значение «Вкл.» в настройках». Они отрицают, что данные просмотра, помимо вышеупомянутых агрегированных данных статистики использования, синхронизируются, когда пользователь включает режим инкогнито.
Затем Xiaomi опубликовала скриншоты фрагментов кода из одного из своих браузерных приложений (правда, они не уточнили, какой браузер), которые, по их утверждению, демонстрируют их точку зрения. По словам Xiaomi, первый фрагмент кода показывает декомпилированный метод того, «как [они] создают случайно сгенерированные уникальные токены для добавления к агрегированной статистике использования». Они заявляют, что «эти токены не соответствуют каким-либо лицам». Следующий фрагмент кода, по-видимому, взят из исходного кода браузера и показывает метод того, «как Mi Browser работает в режиме инкогнито, где нет данные о просмотрах пользователей будут синхронизированы». Третий фрагмент кода демонстрирует, что совокупная статистика использования, которую собирает Xiaomi, «хранится в домене Xiaomi» и не передается в Sensor. Аналитика. Наконец, четвертое изображение «показывает, что данные статистики использования передаются по протоколу HTTPS с шифрованием TLS 1.2».
В довершение всего, Xiaomi приводит четыре сертификата, полученные их программным обеспечением от TrustArc и Британского института стандартов (BSI). Эти сертификаты включают ISO27001:2013, ISO27018:2014, ISO29151:2017 и TRUSTe.
В ответ на это сообщение в блоге исследователь кибербезопасности Эндрю Тирни зашел в твиттер опровергнуть утверждения Xiaomi. Он заявляет, что он и несколько других повторно подтвердили результаты на нескольких устройствах: «нет сомнений в том, что браузер Mint отправляет поисковые запросы и URL-адреса, пока в режиме инкогнито». Он заявляет, что код, опубликованный Xiaomi, не демонстрирует, что их «случайно сгенерированные уникальные токены» не могут быть соотнесены с отдельными людьми. Исследователи отмечают, что UUID, похоже, сохраняться во время сеансов просмотра и только меняется при переустановке браузера. Хранит ли Xiaomi данные только на своих серверах или где-то еще, также не было предметом спора для исследователя. Кроме того, исследователь утверждает, что Xiaomi не обвиняли в отправке данных на удаленные серверы. небезопасными методами — г-н. Тирни отмечает, что проблема заключается в самих данных, которые обрабатываются. отправил.
Мы рады видеть, что Xiaomi напрямую ответила на эти обвинения, но объяснение, похоже, на данный момент не удовлетворяет исследователей. Мы будем следить за этой историей для дальнейшего развития.
Обновление 2: Xiaomi предложит возможность отказа в следующем обновлении браузера
Xiaomi обновила свой Сообщение блога объявить, что следующее обновление Mint Browser и Mi Browser будет включать в себя опцию в режиме инкогнито для отключения сбора «агрегированных» данных. Обновления программного обеспечения будут отправлены в Google Play Store на одобрение сегодня и должны быть доступны пользователям довольно скоро.
Еще неизвестно, останется ли этот сбор данных включенным по умолчанию в режиме инкогнито или нет. Мы надеемся, что это не так. Тем не менее, возможность отказа помогает решить некоторые проблемы конфиденциальности.
Обновление 3: Xiaomi обновляет свои браузеры Mi Browser и Mint Browser, чтобы уточнить переключатель сбора данных в режиме инкогнито.
Хотя Xiaomi решила проблему конфиденциальности с помощью нового переключателя настроек, на самом деле язык, используемый для переключателя, ввел в заблуждение, что привело к противоположному тому, что было написано. Как Android-авторитет указывает на то, «расширенный режим инкогнитоПереключатель сказал: «Агрегированная статистика данных не будет загружена, если включен режим инкогнито.», что заставило пользователей поверить, что включение переключателя сделает это утверждение правдой. Но это было не так. Формулировка отражала текущее состояние переключателя и не была утверждением «истина/ложь», которое вы можете изменить, щелкнув переключатель.
Старое поведение
Теперь Xiaomi обновила браузеры Mi Browser и Mint Browser, чтобы улучшить язык этого переключателя. Переключатель теперь называется "Помогите нам улучшить браузер Mi/Mint", а в сопроводительном тексте говорится "Включите, чтобы делиться с нами статистикой использования, когда включен режим инкогнито.", при этом текст остается прежним, когда вы щелкаете переключателем. Это гораздо более понятно для цели и активного состояния настройки.
Новое поведение
В обеих версиях переключатель должен быть в выключенном состоянии, если вы не хотите, чтобы ваши данные собирались в режиме инкогнито. Просто текст меняется, чтобы лучше отражать состояние. Новое обновление для обоих браузеров уже доступно в магазине Google Play.