Raziskovalci kibernetske varnosti so našli dokaze, da brskalniki Xiaomi zbirajo podatke o brskanju tudi v načinu brez beleženja zgodovine. Berite naprej, če želite izvedeti več!
Posodobitev 3 (21. 5. 2020 ob 01:48 ET): Xiaomi je posodobil nastavitve svojega brskalnika, da so jasnejši glede njihovega namena in s tem odpravili prejšnjo zmedo.
Posodobitev 2 (5. 3. 2020 ob 10.14 ET): V svoji posodobitvi objave v spletnem dnevniku je Xiaomi omenil, da bodo njegovi brskalniki posodobljeni z možnostjo, ki bo uporabnikom omogočila, da se odjavi od sledenja v načinu brez beleženja zgodovine.
Posodobitev 1 (1. 5. 2020 ob 15.36 EST): Xiaomi je objavil objavo v spletnem dnevniku kot odgovor na te obtožbe. Pomaknite se navzdol za posodobitev. Prvotna zgodba, kot je bila objavljena 1. maja 2020 ob 06:18 EST, je naslednja.
Pametni telefoni Xiaomi so soglasno sprejeti kot eden najboljših nakupov na trgu v katerem koli trenutku. Pakiranje nekaj nora strojna oprema po nekaterih zelo donosnih cenah, zlasti na spodnjem koncu trga pametnih telefonov
, ponujajo ti telefoni ponudbo, ki je veliko ljudi preprosto ne more zavrniti. Xiaomi je bil dojemljiv tudi za potrebe skupnosti razvijalcev z odločitvami, kot je npr omogoča odklepanje zagonskega nalagalnika brez žrtvovanja garancije proizvajalca -- kombinacija, ki jo mnogi drugi priljubljeni proizvajalci originalne opreme zavržejo, poleg tega pa so jo močno izboljšali izvorne izdaje jedra. Zaradi teh razlogov so ena najbolj priljubljenih naprav na naših forumih in to mesto priljubljenosti so si upravičeno zaslužili.Vendar pa nedavna poročila varnostnih raziskovalcev kažejo na zaskrbljujočo težavo zasebnosti, opaženo v spletnih brskalnikih Xiaomi. Forbesov sodelavec na področju kibernetske varnosti in pridruženi urednik Thomas Brewster, skupaj z raziskovalci kibernetske varnosti Gabriel Cirlig in Andrew Tierney pred kratkim zaključil v poročilu da so različni spletni brskalniki Xiaomi pošiljali podatke oddaljenim strežnikom. Trdijo, da so poslani podatki vključevali zgodovino vseh obiskanih spletnih mest, vključno z URL-ji, vse poizvedbe iskalnikov in vsi elementi, ki so si jih ogledali v viru novic Xiaomi, skupaj z napravo metapodatki. Zaskrbljujoče pri tej obtožbi o zbiranju podatkov je, da se ti podatki zbirajo, tudi če navidezno brskate z omogočenim načinom brez beleženja zgodovine.
Zdi se, da se to zbiranje podatkov izvaja v vnaprej nameščenem standardnem brskalniku MIUI, pa tudi v Mi Browser Pro in Brskalnik Mint, ki sta na voljo za prenos prek trgovine Google Play. Ti brskalniki imajo skupaj več kot 15 milijonov prenosov v Trgovini Play, medtem ko je osnovni brskalnik vnaprej naložen v vseh napravah Xiaomi. Med testiranimi napravami so Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 in Xiaomi Mi Mix 3. Ni bilo razlike med napravami Xiaomi Android One ali MIUI, saj je bila koda zbirke tako ali tako najdena v privzetem brskalniku. Kot taka se zdi, da ta težava ni osredotočena na MIUI, ampak je odvisna od tega, ali v napravi uporabljate katerega od teh treh brskalnikov, ne glede na osnovni OS. Drugi brskalniki, kot sta Google Chrome in Apple Safari, zbirajo veliko manj podatkov in so omejeni na analizo uporabe in zrušitev.
Xiaomi se je odzval tako, da je navidezno potrdil, da so podatki o brskanju, ki jih zbira, v celoti skladni z lokalnimi zakoni in predpisi o zadevah glede zasebnosti uporabniških podatkov. Zbrani podatki so bili s soglasjem uporabnika in anonimizirani. Vendar je podjetje trditve v raziskavi zanikalo.
Trditve raziskave so neresnične. Zasebnost in varnost sta najpomembnejši.
Ta video prikazuje zbiranje anonimnih podatkov o brskanju, kar je ena najpogostejših rešitev, ki jih uporablja internetna podjetja za izboljšanje splošne izkušnje z izdelki brskalnika z analizo podatkov, ki niso osebno prepoznavni informacije.
Raziskovalci pa so ugotovili, da je ta trditev o anonimnosti dvomljiva. Podatki, ki jih je Xiaomi pošiljal, so bili sicer "šifrirani", vendar so bili kodirani v base64, ki ga je mogoče zlahka dekodirati. Ker so lahko podatki brskanja dekodiran na precej trivialen način, in ker so zbrani podatki vsebovali tudi metapodatke o napravah, bi te podatke o brskanju navidezno brez posebnega truda povezali z dejanji posameznih uporabnikov.
Poleg tega so raziskovalci ugotovili, da so brskalniki Xiaomi pingali domene, povezane s senzorji Analytics, kitajski startup, znan tudi kot Sensors Data, znan po zagotavljanju vedenjske analize storitve. Brskalniki so vsebovali tudi API, imenovan SensorDataAPI. Xiaomi je tudi naveden kot stranka na Spletno mesto Sensors Data.
Xiaomi se je na poročilo Forbesa odzval z zanikanjem več vidikov:
Medtem ko Sensors Analytics ponuja rešitev za analizo podatkov za Xiaomi, so zbrani anonimni podatki shranjeni na lastnih strežnikih Xiaomi in ne bodo deljeni s Sensors Analytics ali katero koli drugo tretjo osebo podjetja.
Raziskovalci so se odzvali na Xiaomijevo zanikanje z nadaljnji dokaz njihove prakse zbiranja podatkov.
Z informacijami, ki so na voljo, se zdi, da je način delovanja teh brskalnikov zaskrbljujoč problem zasebnosti. Za dodatne komentarje o teh trditvah smo se obrnili na Xiaomi.
Vir: Forbes
Posodobitev 1: Xiaomi odgovarja v objavi v spletnem dnevniku
V an uradna objava na blogu na Mi.com je Xiaomi odločno zanikal obtožbe, da kršijo zasebnost uporabnikov.
»Xiaomi je bil razočaran, ko je prebral nedavni članek iz Forbesa. Menimo, da so napačno razumeli, kar smo sporočili v zvezi z našimi načeli in politiko zasebnosti podatkov. Zasebnost naših uporabnikov in internetna varnost sta pri Xiaomi na prvem mestu; prepričani smo, da dosledno upoštevamo lokalne zakone in predpise ter jih v celoti upoštevamo. Obrnili smo se na Forbes, da bi pojasnili to nesrečno napačno razlago.
Podjetje potrjuje, da zbira "zbirne statistične podatke o uporabi", ki vključujejo "sistemske informacije, nastavitve, uporabo funkcij uporabniškega vmesnika, odzivnost, zmogljivost, poraba pomnilnika in poročila o zrušitvah." Navajajo, da teh informacij "samo po sebi ni mogoče uporabiti za identifikacijo katerega koli posameznika." Potrjujejo da se URL-ji zbirajo, vendar se to naredi za "prepoznavanje spletnih strani, ki se nalagajo počasi", da lahko ugotovijo, "kako najbolje izboljšati splošno brskanje izvedba."
Nato podjetje navaja, da se posamezna zgodovina podatkov brskanja sinhronizira, vendar se to izvede le, ko je "uporabnik podpisan v Mi Account... in je nastavljena funkcija sinhronizacije podatkov na »Vklopljeno« v nastavitvah.« Zanikajo, da se podatki brskanja, razen zgoraj omenjenih podatkov o združeni statistiki uporabe, sinhronizirajo, ko je uporabnik omogočil način brez beleženja zgodovine.
Xiaomi je nato objavil posnetke zaslona izrezkov kode iz ene od svojih brskalnikskih aplikacij (čeprav niso navedli, kateri brskalnik), za katere trdijo, da dokazujejo njihove točke. Prvi izrezek kode po Xiaomiju prikazuje dekompilirano metodo za "kako [oni] ustvarijo naključno ustvarjene edinstvene žetone, ki jih dodajo skupni statistiki uporabe." Navajajo, da "ti žetoni ne ustrezajo nobenemu posamezniku." Naslednji delček kode je navidezno iz izvorne kode brskalnika in prikazuje metodo za "kako Mi Browser deluje v načinu brez beleženja zgodovine, kjer ne podatki o brskanju uporabnikov bodo sinhronizirani." Tretji delček kode dokazuje, da so združeni statistični podatki o uporabi, ki jih zbira Xiaomi, "shranjeni v domeni Xiaomi" in niso posredovani senzorju analitika. Nazadnje, četrta slika "prikazuje, da se statistični podatki o uporabi prenašajo s protokolom HTTPS s šifriranjem TLS 1.2."
Za piko na i, Xiaomi nato navaja 4 certifikate, ki jih je njihova programska oprema prejela od TrustArc in British Standard Institution (BSI). Ti certifikati vključujejo ISO27001:2013, ISO27018:2014, ISO29151:2017 in TRUSTe.
Kot odgovor na to objavo v blogu je raziskovalec kibernetske varnosti Andrew Tierney oglasil na Twitterju za zavrnitev trditev Xiaomija. Navaja, da so on in številni drugi ponovno potrdili ugotovitve v več napravah – da "ni dvoma, da brskalnik Mint pošilja iskalne izraze in URL-je, medtem ko v načinu brez beleženja zgodovine." Navaja, da koda, ki jo je objavil Xiaomi, ne dokazuje, da njihovih "naključno ustvarjenih edinstvenih žetonov" ni mogoče povezati s posamezniki. Raziskovalci ugotavljajo, da se zdi, da UUID vztrajati med sejami brskanja in samo spremembe ob ponovni namestitvi brskalnika. Tudi za raziskovalca ni bilo sporno vprašanje, ali Xiaomi podatke shranjuje le na svojih strežnikih ali drugje. Poleg tega raziskovalec trdi, da Xiaomi ni bil obtožen pošiljanja podatkov na oddaljene strežnike z negotovimi metodami - g. Tierney ugotavlja, da so problem sami podatki, ki se obdelujejo poslano.
Veseli nas, da Xiaomi neposredno obravnava te obtožbe, vendar se zdi, da razlaga raziskovalcev na tej točki ne zadovolji. To zgodbo bomo spremljali zaradi nadaljnjega razvoja dogodkov.
Posodobitev 2: Xiaomi bo ponudil možnost zavrnitve pri naslednji posodobitvi brskalnika
Xiaomi je posodobil svoje blog objava da objavite, da bo naslednja posodobitev brskalnikov Mint in Mi Browser vključevala možnost v načinu brez beleženja zgodovine za izklop zbiranja "agregiranih" podatkov. Posodobitve programske opreme bodo danes poslane v trgovino Google Play v odobritev in bi morale biti uporabnikom na voljo kmalu.
Videti je treba, ali bo to zbiranje podatkov ostalo privzeto omogočeno v načinu brez beleženja zgodovine ali ne. Upamo, da ni. Kljub temu možnost zavrnitve odpravlja nekatere pomisleke glede zasebnosti.
Posodobitev 3: Xiaomi posodablja svoj brskalnik Mi Browser in brskalnik Mint, da pojasni preklop zbiranja podatkov brez beleženja zgodovine
Medtem ko je Xiaomi rešil pomisleke glede zasebnosti z novim preklopom nastavitev, se je dejansko zgodilo to, da je bil jezik, uporabljen za preklop, zavajajoč in dosegel nasprotno od napisanega. Kot Android Authority poudarja, "izboljšan način brez beleženja zgodovine” preklop je rekel: “Statistični podatki združenih podatkov ne bodo naloženi, ko je vklopljen način brez beleženja zgodovine«, zaradi česar so uporabniki verjeli, da bi ta izjava postala resnična, če bi stikalo vklopili. Vendar temu ni bilo tako. Besedilo je odražalo trenutno stanje preklopnega gumba in ni bila izjava res/neresnično, ki jo spremenite s preklopom stikala.
Staro vedenje
Zdaj je Xiaomi posodobil Mi Browser in Mint Browser, da imata boljši jezik na tem stikalu. Preklop se zdaj imenuje "Pomagajte nam izboljšati brskalnik Mi/Mint«, spremno besedilo pa pravi »Vklopite, če želite z nami deliti statistiko uporabe, ko je vklopljen način brez beleženja zgodovine", pri čemer besedilo ostane enako, ko obrnete stikalo. To je veliko bolj jasno glede na namen in aktivno stanje nastavitve.
Novo vedenje
V obeh različicah mora biti stikalo v izklopljenem stanju, če ne želite, da se vaši podatki zbirajo v načinu brez beleženja zgodovine. Samo besedilo se spreminja, da bolje odraža stanje. Nova posodobitev obeh brskalnikov je potisnjena v trgovino Google Play.