Истраживачи сајбер безбедности пронашли су доказе да Ксиаоми-ови претраживачи прикупљају податке о прегледању чак и у анонимном режиму. Читајте даље да бисте сазнали више!
Ажурирање 3 (21.05.2020. у 01:48 ЕТ): Ксиаоми је ажурирао своје поставке претраживача како би биле јасније у њиховој сврси, уклањајући претходну забуну.
Ажурирање 2 (05.03.2020. у 10:14 ЕТ): У свом ажурирању поста на блогу, Ксиаоми је поменуо да ће његови претраживачи бити ажурирани са опцијом која омогућава корисницима да одустану од праћења у анонимном режиму.
Ажурирање 1 (01.05.2020. у 15:36 ЕСТ): Ксиаоми је објавио пост на блогу као одговор на ове оптужбе. Померите се надоле за ажурирање. Оригинална прича, објављена 1. маја 2020. у 06:18 ЕСТ, је следећа.
Ксиаоми паметни телефони су једногласно прихваћени да буду једна од највреднијих куповина доступних на тржишту у било ком тренутку. Паковање мало луди хардвер по неким веома уносним ценама, посебно на доњем крају тржишта паметних телефона, ови телефони нуде понуду коју многи људи једноставно не могу да одбију. Ксиаоми је такође био пријемчив за потребе заједнице програмера, са одлукама као што су
омогућавајући откључавање покретача без жртвовања гаранције произвођача -- комбинација коју многи други популарни ОЕМ-ови одбацују, као и да их значајно побољшавају издања извора кернела. Ови разлози их чине једним од најпопуларнијих уређаја на нашим форумима и с правом су заслужили то место популарности.Међутим, недавни извештаји истраживача безбедности указују на забрињавајуће питање приватности које се примећује у веб претраживачима компаније Ксиаоми. Форбсов сарадник за сајбер безбедност и сарадник уредника Тхомас Бревстер, заједно са истраживачима сајбер безбедности Габриел Цирлиг и Андрев Тиернеи недавно закључено је у извештају да су различити веб претраживачи компаније Ксиаоми слали податке удаљеним серверима. Они наводе да су подаци који су послати укључивали историју свих посећених веб локација, укључујући УРЛ адресе, сви упити претраживача и све ставке које су прегледане на Ксиаоми-јевом фиду вести, заједно са уређајем метаподаци. Оно што је чак забрињавајуће у вези са овом тврдњом о прикупљању података је да се ови подаци прикупљају чак и ако наизглед прегледате са омогућеним „режимом без архивирања“.
Чини се да се ово прикупљање података дешава на унапред инсталираном претраживачу на МИУИ, као и Ми Бровсер Про и Минт Бровсер, а оба су доступна за преузимање преко Гоогле Плаи продавнице. Заједно, ови претраживачи имају преко 15 милиона преузимања у Плаи продавници, док је стандардни претраживач унапред инсталиран на свим Ксиаоми уређајима. Тестирани уређаји укључују Ксиаоми Редми Ноте 8, Ксиаоми Ми А1, Ксиаоми Ми 10, Ксиаоми Редми К20 и Ксиаоми Ми Мик 3. Није постојала разлика између Ксиаоми-ових Андроид Оне или МИУИ уређаја, пошто је код колекције ионако пронађен у подразумеваном претраживачу. Као такав, изгледа да овај проблем није усредсређен на МИУИ, већ зависи од тога да ли користите било који од ова три претраживача на свом уређају, без обзира на основни ОС. Други претраживачи, као што су Гоогле Цхроме и Аппле Сафари, прикупљају далеко мање података, ограничавајући се на употребу и аналитику пада.
Ксиаоми је одговорио тако што је наизглед потврдио да су подаци о прегледању које је прикупљао у потпуности у складу са локалним законима и прописима о питањима приватности података корисника. Прикупљене информације су анонимизиране и уз сагласност корисника. Међутим, компанија је демантовала тврдње у истраживању.
Тврдње истраживања су нетачне. Приватност и безбедност су од највеће бриге.
Овај видео приказује прикупљање анонимних података о прегледању, што је једно од најчешћих решења које усваја интернет компаније да побољшају целокупно искуство са производима претраживача кроз анализу оних који се не могу лично идентификовати информације.
Истраживачи су, међутим, сматрали да је ова тврдња о анонимности сумњива. Подаци које је Ксиаоми слао додуше су били „шифровани“, али су били кодирани у басе64, који се лако може декодирати. Пошто се подаци о прегледању могу декодирано на прилично тривијалан начин, а пошто су прикупљени подаци садржали и метаподатке уређаја, ови подаци о прегледању би се наизглед могли повезати са радњама појединачних корисника без значајног напора.
Даље, истраживачи су открили да Ксиаоми претраживачи пингују домене повезане са сензорима Аналитика, кинески стартуп познат и као Сенсорс Дата, познат по пружању аналитике понашања услуге. Прегледачи су такође садржали АПИ под називом СенсорДатаАПИ. Ксиаоми је такође наведен као купац на Веб локација Сенсорс Дата.
Ксиаоми је на извештај Форбса одговорио порицањем у неколико аспеката:
Док Сенсорс Аналитицс пружа решење за анализу података за Ксиаоми, прикупљени анонимни подаци су чувају се на сопственим серверима компаније Ксиаоми и неће се делити са Сенсорс Аналитицс или било којом другом независном страном компаније.
Истраживачи су одговорили на Ксиаомиово порицање са даљи доказ њихове праксе прикупљања података.
Са доступним информацијама, чини се да постоји забрињавајући проблем приватности у начину на који ови претраживачи функционишу. Контактирали смо Ксиаоми за даљи коментар ових тврдњи.
Извор: Форбес
Ажурирање 1: Ксиаоми одговара у посту на блогу
У ан званични блог пост на Ми.цом-у, Ксиаоми је снажно демантовао оптужбе да крше приватност корисника.
„Ксиаоми је био разочаран када је прочитао недавни чланак из Форбса. Сматрамо да су погрешно разумели оно што смо саопштили у вези са нашим принципима и политиком приватности података. Приватност и интернет безбедност наших корисника су од највећег приоритета за Ксиаоми; уверени смо да се стриктно придржавамо локалних закона и прописа и да смо у потпуности у складу са њима. Обратили смо се Форбсу да разјаснимо ову несрећну погрешну интерпретацију.
Компанија потврђује да прикупљају „збирне статистичке податке о коришћењу“, који укључују „информације о систему, поставке, коришћење функција корисничког интерфејса, одзив, перформансе, коришћење меморије и извештаје о паду." Они наводе да се ове информације "не могу саме користити за идентификацију ниједног појединца." Они потврђују да се УРЛ адресе прикупљају, али да се то ради да би се „идентификовале веб странице које се споро учитавају“ како би могли да схвате „како да најбоље побољшају укупно прегледање перформансе."
Затим, компанија наводи да се индивидуална историја података прегледања синхронизује, али да се то ради само када је „корисник пријављен на Ми налог...и подешена је функција синхронизације података на „Укључено“ у оквиру Подешавања." Они поричу да се подаци о прегледању, осим горе поменутих збирних статистичких података о коришћењу, синхронизују када је корисник омогућио режим анонимности.
Ксиаоми је затим објавио снимке екрана исечака кода из једне од својих апликација за прегледач (ипак нису навели који претраживач) за које тврде да демонстрирају своје тачке. Први исечак кода, према Ксиаоми-ју, показује декомпиловани метод за „како [они] креирају насумично генерисане јединствене токене за додавање у збирну статистику коришћења“. Они наводе да „ови токени не одговарају ниједној особи." Следећи исечак кода је наизглед из изворног кода претраживача и показује метод за „како Ми претраживач ради у анонимном режиму, где нема подаци о прегледању корисника ће бити синхронизовани." Трећи исечак кода показује да се збирна статистика коришћења коју Ксиаоми прикупља "чува на Ксиаоми-овом домену" и да се не прослеђује Сенсору Аналитика. Коначно, четврта слика „показује да се статистички подаци о коришћењу преносе помоћу ХТТПС протокола ТЛС 1.2 енкрипције“.
За крај, Ксиаоми затим цитира 4 сертификата које је њихов софтвер добио од ТрустАрц-а и Бритисх Стандард Институтион-а (БСИ). Ови сертификати укључују ИСО27001:2013, ИСО27018:2014, ИСО29151:2017 и ТРУСТе.
Као одговор на ову објаву на блогу, истраживач сајбер безбедности Андрев Тиернеи пренео на Твитер да оповргне тврдње Ксиаомија. Он наводи да су он и неколико других поново потврдили налазе на више уређаја – да „нема сумње да Минт претраживач шаље термине за претрагу и УРЛ-ове док у анонимном режиму." Он наводи да код који је Ксиаоми објавио не показује да се њихови "насумично генерисани јединствени токени" не могу повезати са појединцима. Истраживачи примећују да изгледа да УУИД истрајати у свим сесијама прегледања и само промене када се прегледач поново инсталира. Да ли Ксиаоми чува податке само на сопственим серверима или негде другде, такође није било спорно за истраживача. Поред тога, истраживач наводи да Ксиаоми није оптужен за слање података на удаљене сервере несигурним методама — г. Тирни напомиње да су проблем сами подаци који постоје послао.
Драго нам је што се Ксиаоми директно бавио овим наводима, али изгледа да објашњење у овом тренутку не задовољава истраживаче. Ову причу ћемо пратити за даљи развој догађаја.
Ажурирање 2: Ксиаоми ће понудити опцију искључивања у следећем ажурирању претраживача
Ксиаоми је ажурирао своју блог пост да најавимо да ће следеће ажурирање прегледача Минт и Ми претраживача укључити опцију у анонимном режиму за искључивање прикупљања „агрегираних“ података. Ажурирања софтвера ће данас бити послата на одобрење у Гоогле Плаи продавницу и ускоро би требало да буду доступна корисницима.
Остаје да се види да ли ће ово прикупљање података остати подразумевано омогућено у режиму без архивирања или не. Надамо се да није. Ипак, могућност искључивања ради на решавању неких питања приватности.
Ажурирање 3: Ксиаоми ажурира свој прегледач Ми и Минт претраживач како би разјаснио преклопник за прикупљање података без архивирања
Иако је Ксиаоми решио проблеме приватности новим прекидачем подешавања, оно што се заправо догодило је да је језик који је коришћен за пребацивање био погрешан, постижући супротно од онога што је написано. Као Андроид Аутхорити Истиче, „побољшани режим анонимности” прекидач је рекао: „Статистички подаци агрегираних података се неће отпремати када је укључен режим без архивирања“, што је навело кориснике да верују да би укључивање прекидача учинило ову изјаву истинитом. Али то није био случај. Формулација је одражавала тренутно стање прекидача и није била тачна/нетачна изјава коју мењате окретањем прекидача.
Старо понашање
Сада је Ксиаоми ажурирао Ми претраживач и Минт претраживач да би имао бољи језик на овом прекидачу. Прекидач се сада зове "Помозите нам да побољшамо Ми/Минт претраживач“, а у пропратном тексту се каже „Укључите да бисте са нама делили статистику коришћења када је режим без архивирања укључен", при чему текст остаје исти када окренете прекидач. Ово је много јасније за сврху и активно стање поставке.
Ново понашање
У обе верзије, прекидач мора да буде у искљученом стању ако не желите да се ваши подаци прикупљају у режиму без архивирања. То је само текст који се мења да би боље одражавао стање. Ново ажурирање за оба претраживача се гура у Гоогле Плаи продавницу.