นักวิจัยกล่าวหาว่าเว็บเบราว์เซอร์ Xiaomi รวบรวมข้อมูลการท่องเว็บ

สรุปข่าว XdaNov 22, 2023

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบหลักฐานว่าเบราว์เซอร์ของ Xiaomi ได้รวบรวมข้อมูลการท่องเว็บแม้ในโหมดไม่ระบุตัวตน อ่านต่อเพื่อทราบข้อมูลเพิ่มเติม!

อัปเดต 3 (21/05/2020 @ 01:48 น. ET): Xiaomi ได้อัปเดตการตั้งค่าเบราว์เซอร์ให้มีความชัดเจนในวัตถุประสงค์ โดยขจัดความสับสนก่อนหน้านี้

อัปเดต 2 (05/03/2020 @ 10:14 น. ET): ในการอัปเดตโพสต์บล็อก Xiaomi ได้กล่าวว่าเบราว์เซอร์จะได้รับการอัปเดตพร้อมตัวเลือกเพื่อให้ผู้ใช้สามารถยกเลิกการติดตามในโหมดไม่ระบุตัวตน

อัปเดต 1 (05/01/2020 @ 03:36 PM EST): Xiaomi ได้เผยแพร่บล็อกโพสต์เพื่อตอบสนองต่อข้อกล่าวหาเหล่านี้ เลื่อนลงเพื่อดูการอัปเดต เรื่องราวดั้งเดิมตามที่เผยแพร่เมื่อวันที่ 1 พฤษภาคม 2020 เวลา 06:18 น. EST มีดังต่อไปนี้

สมาร์ทโฟน Xiaomi ได้รับการตกลงอย่างเป็นเอกฉันท์ให้เป็นหนึ่งในการซื้อที่คุ้มค่าที่สุดในตลาด ณ เวลาใดก็ได้ กำลังบรรจุบ้าง. ฮาร์ดแวร์บ้า ในราคาที่ทำกำไรได้มาก โดยเฉพาะตลาดสมาร์ทโฟนระดับล่างโทรศัพท์เหล่านี้ยื่นข้อเสนอที่ผู้คนจำนวนมากปฏิเสธไม่ได้ Xiaomi ยังเปิดรับความต้องการของชุมชนนักพัฒนาด้วยการตัดสินใจเช่น อนุญาตให้ปลดล็อค bootloader โดยไม่ต้องเสียสละการรับประกันของผู้ผลิต

-- การรวมกันที่ OEM ยอดนิยมอื่นๆ จำนวนมากทิ้งไป พร้อมทั้งการปรับปรุงให้ดีขึ้นอย่างมาก การเผยแพร่แหล่งเคอร์เนล. เหตุผลเหล่านี้ทำให้พวกเขาเป็นหนึ่งในอุปกรณ์ยอดนิยมในฟอรั่มของเรา และพวกเขาก็ได้รับความนิยมพอสมควร

อย่างไรก็ตาม รายงานล่าสุดจากนักวิจัยด้านความปลอดภัยชี้ให้เห็นถึงปัญหาความเป็นส่วนตัวที่น่ากังวลที่พบในเว็บเบราว์เซอร์ของ Xiaomi ผู้สนับสนุนด้านความปลอดภัยทางไซเบอร์ของ Forbes และรองบรรณาธิการ โธมัส บรูว์สเตอร์พร้อมด้วยนักวิจัยด้านความปลอดภัยทางไซเบอร์ กาเบรียล เซอร์ลิก และ แอนดรูว์ เทียร์นีย์ ล่าสุด สรุปไว้ในรายงาน เว็บเบราว์เซอร์ต่างๆ ของ Xiaomi ส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกล พวกเขากล่าวหาว่าข้อมูลที่ถูกส่งนั้นรวมถึงประวัติของเว็บไซต์ทั้งหมดที่เยี่ยมชม รวมถึง URL ข้อความค้นหาของเครื่องมือค้นหาทั้งหมด และรายการทั้งหมดที่ดูบนฟีดข่าวของ Xiaomi พร้อมด้วยอุปกรณ์ ข้อมูลเมตา สิ่งที่น่ากังวลเกี่ยวกับข้อกล่าวหาในการรวบรวมข้อมูลก็คือ ข้อมูลนี้กำลังถูกรวบรวม แม้ว่าดูเหมือนว่าคุณจะเรียกดูโดยเปิดใช้งาน "โหมดไม่ระบุตัวตน" ก็ตาม

ดูเหมือนว่าการรวบรวมข้อมูลนี้จะเกิดขึ้นบนเบราว์เซอร์หุ้นที่ติดตั้งไว้ล่วงหน้าบน MIUI เช่นกัน Mi เบราว์เซอร์โปร และ มิ้นท์เบราว์เซอร์ซึ่งทั้งสองอย่างนี้สามารถดาวน์โหลดได้ผ่าน Google Play Store เมื่อรวมกันแล้ว เบราว์เซอร์เหล่านี้มียอดดาวน์โหลดมากกว่า 15 ล้านครั้งบน Play Store ในขณะที่เบราว์เซอร์สต็อกโหลดไว้ล่วงหน้าบนอุปกรณ์ Xiaomi ทั้งหมด อุปกรณ์ที่ทดสอบ ได้แก่ Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 และ Xiaomi Mi Mix 3 ไม่มีความแตกต่างระหว่างอุปกรณ์ Android One หรือ MIUI ของ Xiaomi เนื่องจากพบรหัสคอลเลกชันในเบราว์เซอร์เริ่มต้นอยู่แล้ว ด้วยเหตุนี้ ปัญหานี้ดูเหมือนจะไม่เกี่ยวข้องกับ MIUI แต่ขึ้นอยู่กับว่าคุณใช้เบราว์เซอร์ทั้งสามนี้บนอุปกรณ์ของคุณหรือไม่ โดยไม่คำนึงถึงระบบปฏิบัติการพื้นฐาน เบราว์เซอร์อื่นๆ เช่น Google Chrome และ Apple Safari รวบรวมข้อมูลน้อยกว่ามาก โดยจำกัดการใช้งานและการวิเคราะห์ข้อขัดข้อง

Xiaomi ตอบกลับโดยดูเหมือนจะยืนยันว่าข้อมูลการท่องเว็บที่รวบรวมนั้นเป็นไปตามกฎหมายและข้อบังคับท้องถิ่นในเรื่องความเป็นส่วนตัวของข้อมูลผู้ใช้โดยสมบูรณ์ ข้อมูลที่รวบรวมได้รับความยินยอมจากผู้ใช้และไม่ระบุชื่อ อย่างไรก็ตาม บริษัทปฏิเสธคำกล่าวอ้างในการวิจัย

คำกล่าวอ้างการวิจัยไม่เป็นความจริง ความเป็นส่วนตัวและความปลอดภัยเป็นสิ่งสำคัญที่สุด

วิดีโอนี้แสดงการรวบรวมข้อมูลการท่องเว็บแบบไม่เปิดเผยตัวตน ซึ่งเป็นหนึ่งในโซลูชันทั่วไปที่นำมาใช้ บริษัทอินเทอร์เน็ตเพื่อปรับปรุงประสบการณ์ผลิตภัณฑ์เบราว์เซอร์โดยรวมผ่านการวิเคราะห์ที่ไม่สามารถระบุตัวบุคคลได้ ข้อมูล.

อย่างไรก็ตาม นักวิจัยพบว่าการกล่าวอ้างเรื่องการไม่เปิดเผยตัวตนนี้เป็นเรื่องที่น่าสงสัย ข้อมูลที่ Xiaomi ส่งนั้นเป็นที่ยอมรับกันว่า "เข้ารหัส" แต่มันถูกเข้ารหัสใน base64 ซึ่งสามารถถอดรหัสได้อย่างง่ายดาย เนื่องจากสามารถเรียกดูข้อมูลได้ ถอดรหัสในลักษณะที่ค่อนข้างไม่สำคัญและเนื่องจากข้อมูลที่รวบรวมยังมีข้อมูลเมตาของอุปกรณ์ ข้อมูลการท่องเว็บนี้จึงดูเหมือนมีความสัมพันธ์กับการกระทำของผู้ใช้แต่ละรายโดยไม่ต้องใช้ความพยายามมากนัก

นอกจากนี้ นักวิจัยยังพบว่าเบราว์เซอร์ Xiaomi ส่ง Ping ไปยังโดเมนที่เกี่ยวข้องกับเซนเซอร์ Analytics สตาร์ทอัพสัญชาติจีนหรือที่รู้จักในชื่อ Sensors Data ซึ่งเป็นที่รู้จักในด้านการวิเคราะห์พฤติกรรม บริการ เบราว์เซอร์ยังมี API ที่เรียกว่า SensorDataAPI Xiaomi ยังมีรายชื่อเป็นลูกค้าใน เว็บไซต์ข้อมูลเซ็นเซอร์.

Xiaomi ตอบสนองต่อรายงานจาก Forbes โดยปฏิเสธในหลายประเด็น:

แม้ว่า Sensors Analytics จะมอบโซลูชันการวิเคราะห์ข้อมูลสำหรับ Xiaomi แต่ข้อมูลที่ไม่ระบุตัวตนที่รวบรวมไว้ก็คือ เก็บไว้ในเซิร์ฟเวอร์ของ Xiaomi และจะไม่ถูกแชร์กับ Sensors Analytics หรือบุคคลที่สามอื่นใด บริษัท.

นักวิจัยตอบโต้การปฏิเสธของ Xiaomi ด้วย หลักฐานเพิ่มเติม ของการปฏิบัติในการรวบรวมข้อมูลของพวกเขา

ด้วยข้อมูลที่มีอยู่ ดูเหมือนจะมีปัญหาความเป็นส่วนตัวที่น่ากังวลเกี่ยวกับวิธีการทำงานของเบราว์เซอร์เหล่านี้ เราได้ติดต่อ Xiaomi เพื่อขอความคิดเห็นเพิ่มเติมเกี่ยวกับการกล่าวอ้างเหล่านี้

แหล่งที่มา: ฟอร์บส์

อัปเดต 1: Xiaomi ตอบกลับในบล็อกโพสต์

ใน โพสต์บล็อกอย่างเป็นทางการ บน Mi.com Xiaomi ปฏิเสธข้อกล่าวหาว่าพวกเขาละเมิดความเป็นส่วนตัวของผู้ใช้อย่างยิ่ง

“Xiaomi รู้สึกผิดหวังที่ได้อ่านบทความล่าสุดจาก Forbes เรารู้สึกว่าพวกเขาเข้าใจผิดในสิ่งที่เราสื่อสารเกี่ยวกับหลักการและนโยบายความเป็นส่วนตัวของข้อมูลของเรา ความเป็นส่วนตัวและความปลอดภัยทางอินเทอร์เน็ตของผู้ใช้ของเราถือเป็นสิ่งสำคัญสูงสุดที่ Xiaomi เรามั่นใจว่าเราปฏิบัติตามและปฏิบัติตามกฎหมายและข้อบังคับท้องถิ่นอย่างเคร่งครัด เราได้ติดต่อ Forbes เพื่อชี้แจงความชัดเจนเกี่ยวกับการตีความที่ผิดอันโชคร้ายนี้”

บริษัทยืนยันว่าพวกเขารวบรวม "ข้อมูลสถิติการใช้งานรวม" ซึ่งรวมถึง "ข้อมูลระบบ การกำหนดค่า การใช้งานคุณลักษณะอินเทอร์เฟซผู้ใช้ การตอบสนอง ประสิทธิภาพ การใช้หน่วยความจำ และรายงานข้อขัดข้อง" พวกเขาระบุว่าข้อมูลนี้ "ไม่สามารถใช้เพื่อระบุตัวบุคคลใด ๆ เพียงอย่างเดียวได้" พวกเขายืนยัน URL นั้นถูกรวบรวมไว้ แต่ทำเพื่อ "ระบุหน้าเว็บที่โหลดช้า" เพื่อให้พวกเขาสามารถเข้าใจ "วิธีปรับปรุงการท่องเว็บโดยรวมให้ดีที่สุดได้อย่างไร ผลงาน."

ถัดไป บริษัทระบุว่าประวัติข้อมูลการท่องเว็บแต่ละรายการได้รับการซิงค์ แต่จะทำได้เฉพาะเมื่อ "ผู้ใช้ลงชื่อเข้าใช้บัญชี Mi... และฟังก์ชันการซิงค์ข้อมูลได้รับการตั้งค่าแล้วเท่านั้น เป็น 'เปิด' ภายใต้การตั้งค่า" พวกเขาปฏิเสธว่าข้อมูลการท่องเว็บ นอกเหนือจากข้อมูลสถิติการใช้งานรวมที่กล่าวมาข้างต้น กำลังซิงค์อยู่เมื่อผู้ใช้เปิดใช้งานโหมดไม่ระบุตัวตน

จากนั้น Xiaomi ได้เผยแพร่ภาพหน้าจอของตัวอย่างโค้ดจากแอปเบราว์เซอร์ตัวใดตัวหนึ่งของพวกเขา (แต่ไม่ได้ระบุว่าเบราว์เซอร์ตัวใด) ที่พวกเขาอ้างว่าแสดงให้เห็นถึงประเด็นของพวกเขา ข้อมูลโค้ดแรกตาม Xiaomi แสดงวิธีการถอดรหัสสำหรับ "วิธีที่ [พวกเขา] สร้างโทเค็นที่ไม่ซ้ำกันที่สร้างขึ้นแบบสุ่มเพื่อผนวกเข้ากับสถิติการใช้งานรวม" พวกเขากล่าวว่า "สิ่งเหล่านี้ โทเค็นไม่สอดคล้องกับบุคคลใด ๆ " ข้อมูลโค้ดถัดไปดูเหมือนจะมาจากซอร์สโค้ดของเบราว์เซอร์และแสดงวิธีการ "วิธีการทำงานของ Mi Browser ภายใต้โหมดไม่ระบุตัวตน โดยที่ ข้อมูลการท่องเว็บของผู้ใช้จะถูกซิงค์" ข้อมูลโค้ดที่สามแสดงให้เห็นว่าสถิติการใช้งานรวมที่ Xiaomi รวบรวมนั้น "จัดเก็บไว้ในโดเมนของ Xiaomi" และจะไม่ถูกส่งไปยังเซ็นเซอร์ การวิเคราะห์ สุดท้าย ภาพที่สี่ "แสดงให้เห็นว่าข้อมูลสถิติการใช้งานถูกถ่ายโอนด้วยโปรโตคอล HTTPS ของการเข้ารหัส TLS 1.2"

เพื่อปิดท้ายทั้งหมด Xiaomi จึงอ้างถึงใบรับรอง 4 รายการที่ซอฟต์แวร์ของพวกเขาได้รับจาก TrustArc และ British Standard Institution (BSI) การรับรองเหล่านี้ได้แก่ ISO27001:2013, ISO27018:2014, ISO29151:2017 และ TRUSTe

เพื่อตอบสนองต่อโพสต์บนบล็อกนี้ Andrew Tierney นักวิจัยด้านความปลอดภัยทางไซเบอร์ เอาไปลงทวิตเตอร์ เพื่อหักล้างคำกล่าวอ้างของ Xiaomi เขากล่าวว่าเขาและคนอื่นๆ อีกหลายคนยืนยันการค้นพบในอุปกรณ์หลายเครื่องอีกครั้งว่า "ไม่ต้องสงสัยเลยว่า Mint Browser ส่งข้อความค้นหาและ URL ในขณะที่ ในโหมดไม่ระบุตัวตน" เขาระบุว่าโค้ดที่ Xiaomi เผยแพร่ไม่ได้แสดงให้เห็นว่า "โทเค็นที่ไม่ซ้ำกันที่สร้างขึ้นแบบสุ่ม" ไม่สามารถเชื่อมโยงกับแต่ละบุคคลได้ นักวิจัยตั้งข้อสังเกตว่า UUID ดูเหมือนจะเป็นเช่นนั้น คงอยู่ตลอดเซสชันการสืบค้น และมีการเปลี่ยนแปลงเท่านั้น เมื่อติดตั้งเบราว์เซอร์ใหม่. ไม่ว่า Xiaomi จะเก็บข้อมูลไว้บนเซิร์ฟเวอร์ของตนเองหรือที่อื่น ๆ เท่านั้น ก็ไม่ถือเป็นประเด็นโต้แย้งสำหรับนักวิจัยเช่นกัน นอกจากนี้ นักวิจัยระบุว่า Xiaomi ไม่ได้ถูกกล่าวหาว่าส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกล ด้วยวิธีการที่ไม่ปลอดภัย—นาย... Tierney ตั้งข้อสังเกตว่าปัญหาที่เกิดขึ้นคือข้อมูลที่มีอยู่ ส่งแล้ว.

เราดีใจที่เห็น Xiaomi จัดการกับข้อกล่าวหาเหล่านี้โดยตรง แต่คำอธิบายดูเหมือนจะไม่เป็นที่พอใจของนักวิจัย ณ จุดนี้ เราจะคอยติดตามเรื่องราวนี้เพื่อการพัฒนาเพิ่มเติม

อัปเดต 2: Xiaomi จะเสนอตัวเลือกไม่เข้าร่วมในการอัปเดตเบราว์เซอร์ครั้งถัดไป

Xiaomi ได้อัปเดตแล้ว โพสต์บล็อก เพื่อประกาศว่าการอัปเดตครั้งต่อไปของ Mint Browser และ Mi Browser จะมีตัวเลือกในโหมดไม่ระบุตัวตนเพื่อปิดการรวบรวมข้อมูล "รวม" การอัปเดตซอฟต์แวร์จะถูกส่งไปยัง Google Play Store เพื่อขออนุมัติในวันนี้และจะพร้อมให้ผู้ใช้ใช้งานได้เร็วๆ นี้

คงต้องดูกันต่อไปว่าการรวบรวมข้อมูลนี้จะยังคงเปิดใช้งานตามค่าเริ่มต้นภายในโหมดไม่ระบุตัวตนหรือไม่ เราหวังว่ามันจะไม่ใช่ ยังคงมีทางเลือกในการยกเลิกเพื่อแก้ไขปัญหาความเป็นส่วนตัวบางประการ

อัปเดต 3: Xiaomi กำลังอัปเดต Mi Browser และ Mint Browser เพื่อชี้แจงการสลับการรวบรวมข้อมูลที่ไม่ระบุตัวตน

ในขณะที่ Xiaomi จัดการกับข้อกังวลด้านความเป็นส่วนตัวด้วยการสลับการตั้งค่าใหม่ แต่สิ่งที่เกิดขึ้นจริงคือภาษาที่ใช้ในการสลับนั้นทำให้เข้าใจผิด ซึ่งบรรลุผลตรงกันข้ามกับสิ่งที่เขียนไว้ เช่น ผู้มีอำนาจ Android ชี้ให้เห็นโหมดไม่ระบุตัวตนที่ได้รับการปรับปรุง” สลับกล่าวว่า: “สถิติข้อมูลที่รวบรวมจะไม่ถูกอัปโหลดเมื่อเปิดโหมดไม่ระบุตัวตน” ซึ่งทำให้ผู้ใช้เชื่อว่าการเปิดใช้จะทำให้ข้อความนี้เป็นจริง แต่นี่ไม่ใช่กรณี ข้อความนี้สะท้อนถึงสถานะปัจจุบันของการสลับ และไม่ใช่ข้อความจริง/เท็จที่คุณเปลี่ยนแปลงโดยการพลิกสวิตช์

พฤติกรรมเก่า

ตอนนี้ Xiaomi ได้อัปเดต Mi Browser และ Mint Browser เพื่อให้มีภาษาที่ดีขึ้นในการสลับนี้ สวิตช์นี้เรียกว่า "ช่วยเราปรับปรุงเบราว์เซอร์ Mi/Mint"และข้อความประกอบว่า"เปิดเพื่อแชร์สถิติการใช้งานกับเราเมื่อเปิดโหมดไม่ระบุตัวตน" โดยข้อความจะคงเดิมเมื่อคุณพลิกสวิตช์ สิ่งนี้ชัดเจนมากขึ้นสำหรับวัตถุประสงค์และสถานะที่ใช้งานของการตั้งค่า

พฤติกรรมใหม่

ในทั้งสองเวอร์ชัน ตัวสลับจะต้องอยู่ในสถานะปิด หากคุณไม่ต้องการให้ข้อมูลของคุณถูกเก็บรวบรวมในโหมดไม่ระบุตัวตน เป็นเพียงข้อความที่เปลี่ยนแปลงเพื่อให้สะท้อนถึงสถานะได้ดีขึ้น การอัปเดตใหม่สำหรับเบราว์เซอร์ทั้งสองกำลังถูกส่งไปยัง Google Play Store