Siber güvenlik araştırmacıları, Xiaomi'nin tarayıcılarının Gizli modda bile tarama verileri bilgilerini topladığına dair kanıtlar buldu. Daha fazlasını öğrenmek için okumaya devam edin!
Güncelleme 3 (21.05.2020 @ 01:48 ET): Xiaomi, tarayıcı ayarlarını amaçlarını daha net bir şekilde anlayacak şekilde güncelleyerek önceki kafa karışıklığını ortadan kaldırdı.
Güncelleme 2 (05/03/2020 @ 10:14 ET): Xiaomi, blog yazısı güncellemesinde, tarayıcılarının, kullanıcıların gizli modda izlemeyi devre dışı bırakmasına izin verecek bir seçenekle güncelleneceğini belirtti.
Güncelleme 1 (05/01/2020 @ 15:36 EST): Xiaomi bu iddialara yanıt olarak bir blog yazısı yayınladı. Güncelleme için aşağı kaydırın. 1 Mayıs 2020, 06:18 EST'de yayınlanan orijinal hikaye aşağıdaki gibidir.
Xiaomi akıllı telefonlarının, herhangi bir zamanda piyasada bulunabilecek en değerli satın alımlardan biri olduğu konusunda oybirliğiyle kabul edildi. Biraz paketleme çılgın donanım bazı çok karlı fiyat noktalarında, özellikle akıllı telefon pazarının alt ucunda
Bu telefonlar pek çok kişinin reddedemeyeceği bir teklif sunuyor. Xiaomi aynı zamanda geliştirici topluluğunun ihtiyaçlarını da aşağıdaki gibi kararlarla karşılamaktadır: Üreticinin garantisinden ödün vermeden önyükleyicinin kilidinin açılmasına izin vermek - diğer pek çok popüler OEM'in vazgeçtiği ve aynı zamanda kendi ürünlerini büyük ölçüde geliştiren bir kombinasyon çekirdek kaynağı sürümleri. Bu nedenler onları forumlarımızdaki en popüler cihazlardan biri haline getiriyor ve haklı olarak bu popülerliği kazandılar.Ancak güvenlik araştırmacılarından gelen son raporlar, Xiaomi'nin web tarayıcılarında gözlemlenen endişe verici bir gizlilik sorununa işaret ediyor. Forbes'un siber güvenliğe katkıda bulunanı ve yardımcı editörü Thomas BrewsterSiber güvenlik araştırmacılarıyla birlikte Gabriel Çirlig Ve Andrew Tierney son zamanlarda bir raporda sonuçlandırıldı Xiaomi'nin çeşitli web tarayıcılarının uzak sunuculara veri gönderdiğini söyledi. Gönderilen verilerin URL'ler de dahil olmak üzere ziyaret edilen tüm web sitelerinin geçmişini içerdiğini iddia ediyorlar. tüm arama motoru sorguları ve Xiaomi'nin haber akışında görüntülenen tüm öğeler, cihazla birlikte meta veriler. Bu veri toplama iddiasıyla ilgili endişe verici olan şey, görünüşte "gizli mod" etkinken geziniyor olsanız bile bu verilerin toplanmasıdır.
Bu veri toplama işlemi görünüşe göre MIUI'de önceden yüklenmiş stok tarayıcıda ve ayrıca Mi Tarayıcı Pro Ve Nane Tarayıcı, her ikisi de Google Play Store'dan indirilebilir. Bu tarayıcılar Play Store'da 15 milyonun üzerinde indirme sayısına sahipken, stok tarayıcı tüm Xiaomi cihazlarına önceden yüklenmiştir. Test edilen cihazlar arasında Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 ve Xiaomi Mi Mix 3 yer alıyor. Koleksiyon kodu zaten varsayılan tarayıcıda bulunduğu için Xiaomi'nin Android One veya MIUI cihazları arasında bir fark yoktu. Bu nedenle, bu sorun MIUI merkezli gibi görünmüyor ancak temel işletim sistemi ne olursa olsun cihazınızda bu üç tarayıcıdan herhangi birini kullanıp kullanmadığınıza bağlı. Google Chrome ve Apple Safari gibi diğer tarayıcılar çok daha az veri toplayarak kendilerini kullanım ve kilitlenme analizleriyle sınırlandırıyor.
Xiaomi, topladığı tarama verilerinin, kullanıcı verilerinin gizliliği konularına ilişkin yerel yasa ve düzenlemelere tamamen uygun olduğunu görünüşte doğrulayarak yanıt verdi. Toplanan bilgiler kullanıcının onayıyla yapıldı ve anonimleştirildi. Ancak şirket araştırmada iddiaları yalanladı.
Araştırma iddiaları doğru değil. Gizlilik ve güvenlik en önemli konudur.
Bu video, şirketlerin benimsediği en yaygın çözümlerden biri olan anonim tarama verilerinin toplanmasını göstermektedir. internet şirketleri, kişisel olarak tanımlanamayan analizler yoluyla genel tarayıcı ürün deneyimini iyileştirecek bilgi.
Ancak araştırmacılar bu anonimlik iddiasının şüpheli olduğunu buldu. Xiaomi'nin gönderdiği veriler kuşkusuz "şifrelenmişti", ancak kodu kolayca çözülebilen base64'te kodlanmıştı. Tarama verileri oldukça önemsiz bir şekilde kodu çözüldüve toplanan veriler aynı zamanda cihaz meta verilerini de içerdiğinden, bu tarama verileri, görünürde önemli bir çaba gerektirmeden bireysel kullanıcıların eylemleriyle ilişkilendirilebiliyordu.
Ayrıca araştırmacılar, Xiaomi tarayıcılarının Sensörlerle ilgili alanlara ping attığını buldu. Analytics, davranışsal analiz sağlamasıyla tanınan, Sensors Data olarak da bilinen Çinli bir girişim Hizmetler. Tarayıcılar ayrıca SensorDataAPI adı verilen bir API içeriyordu. Xiaomi ayrıca müşteri olarak listeleniyor Sensör Verileri web sitesi.
Xiaomi, Forbes'un raporuna çeşitli yönleri reddederek yanıt verdi:
Sensors Analytics, Xiaomi için bir veri analizi çözümü sunarken, toplanan anonim veriler Xiaomi'nin kendi sunucularında saklanacak ve Sensors Analytics veya başka herhangi bir üçüncü tarafla paylaşılmayacaktır. şirketler.
Araştırmacılar Xiaomi'nin reddine şöyle yanıt verdi: ileri seviye kanıt veri toplama uygulamaları.
Eldeki bilgiler göz önüne alındığında, bu tarayıcıların çalışma biçiminde endişe verici bir gizlilik sorunu olduğu görülüyor. Bu iddialar hakkında daha fazla yorum yapmak için Xiaomi ile iletişime geçtik.
Kaynak: Forbes
Güncelleme 1: Xiaomi Blog Yazısında Yanıt Verdi
bir resmi blog yazısı Mi.com'da Xiaomi, kullanıcı gizliliğini ihlal ettikleri iddialarını şiddetle reddetti.
"Xiaomi, Forbes'un son makalesini okuyunca hayal kırıklığına uğradı. Veri gizliliği ilkelerimiz ve politikamız hakkında ilettiklerimizi yanlış anladıklarını düşünüyoruz. Kullanıcımızın gizliliği ve internet güvenliği Xiaomi'de en büyük önceliğe sahiptir; Yerel yasa ve yönetmeliklere sıkı bir şekilde uyduğumuzdan ve bunlara tamamen uyduğumuzdan eminiz. Bu talihsiz yanlış yorumlamaya açıklık getirmek için Forbes'a ulaştık."
Şirket, "sistem bilgileri, tercihler, kullanıcı arayüzü özellik kullanımı, yanıt verebilirlik, performans, bellek kullanımı ve kilitlenme raporları." Bu bilgilerin "tek başına herhangi bir kişiyi tanımlamak için kullanılamayacağını" belirtiyorlar. URL'lerin toplandığını, ancak bunun "yavaş yüklenen web sayfalarını tanımlamak" için yapıldığını, böylece "genel taramayı en iyi şekilde nasıl geliştirebileceklerini" anlayabildiklerini verim."
Daha sonra şirket, bireysel tarama veri geçmişinin senkronize edildiğini ancak bunun yalnızca "kullanıcı Mi Hesabında oturum açtığında ve veri senkronizasyon işlevi ayarlandığında" yapıldığını belirtiyor. Ayarlar altında 'Açık' olarak ayarlayın." Yukarıda belirtilen toplu kullanım istatistikleri verileri dışındaki tarama verilerinin, kullanıcı gizli modu etkinleştirdiğinde senkronize edildiğini reddediyorlar.
Xiaomi daha sonra tarayıcı uygulamalarından birinden (ancak hangi tarayıcının olduğunu belirtmediler) kendi noktalarını gösterdiğini iddia ettiği kod parçacıklarının ekran görüntülerini yayınladı. Xiaomi'ye göre ilk kod pasajı, "toplu kullanım istatistiklerine eklenecek rastgele oluşturulmuş benzersiz jetonların nasıl oluşturulduğuna" ilişkin kaynak koda dönüştürülmüş bir yöntemi gösteriyor. Şöyle diyorlar: "Bunlar jetonlar herhangi bir kişiye karşılık gelmiyor." Bir sonraki kod pasajı görünüşe göre tarayıcının kaynak kodundan geliyor ve "Mi Tarayıcının gizli modda nasıl çalıştığına dair bir yöntem gösteriyor; Kullanıcı tarama verileri senkronize edilecek." Üçüncü kod pasajı, Xiaomi'nin topladığı toplu kullanım istatistiklerinin "Xiaomi'nin etki alanında saklandığını" ve Sensor'a aktarılmadığını gösteriyor Analitik. Son olarak, dördüncü görüntü "kullanım istatistik verilerinin TLS 1.2 şifrelemesinin HTTPS protokolüyle aktarıldığını göstermektedir."
Hepsini kapatmak için Xiaomi, yazılımlarının TrustArc ve British Standard Institution'dan (BSI) aldığı 4 sertifikayı belirtiyor. Bu sertifikalar arasında ISO27001:2013, ISO27018:2014, ISO29151:2017 ve TRUSTe bulunmaktadır.
Bu blog gönderisine yanıt olarak siber güvenlik araştırmacısı Andrew Tierney Twitter'a götürdüm Xiaomi'nin iddialarını çürütmek için. Kendisinin ve diğer birkaç kişinin bulguları birden fazla cihazda yeniden doğruladığını belirtiyor; "Mint Tarayıcısının arama terimlerini ve URL'leri gönderdiğine şüphe yok" Gizli modda." Xiaomi'nin yayınladığı kodun, "rastgele oluşturulan benzersiz tokenlerin" bireylerle ilişkilendirilemeyeceğini göstermediğini belirtiyor. Araştırmacılar UUID'nin göründüğünü belirtiyorlar tarama oturumları boyunca devam eder ve yalnızca değişiklikler tarayıcı yeniden yüklendiğinde. Xiaomi'nin verileri yalnızca kendi sunucularında mı yoksa başka bir yerde mi sakladığı araştırmacı için de bir tartışma konusu değildi. Ayrıca araştırmacı, Xiaomi'nin verileri uzak sunuculara göndermekle suçlanmadığını belirtiyor güvensiz yöntemlerle - Mr. Tierney, eldeki sorunun, verinin kendisi olduğunu belirtiyor gönderilmiş.
Xiaomi'nin doğrudan bu iddialara değindiğini görmek bizleri sevindiriyor ancak açıklama şu aşamada araştırmacıları tatmin etmiş gibi görünmüyor. Daha sonraki gelişmeler için bu hikayeyi takip edeceğiz.
Güncelleme 2: Xiaomi bir sonraki tarayıcı güncellemesinde devre dışı bırakma seçeneği sunacak
Xiaomi güncellendi Blog yazısı Mint Tarayıcısı ve Mi Tarayıcısına yönelik bir sonraki güncellemenin gizli modda "toplu" veri toplamayı kapatma seçeneğini içereceğini duyurmak. Yazılım güncellemeleri bugün onay için Google Play Store'a gönderilecek ve çok yakında kullanıcıların kullanımına sunulacak.
Bu veri toplamanın gizli modda varsayılan olarak etkin kalıp kalmayacağı henüz bilinmiyor. Umarız öyle değildir. Yine de, vazgeçme seçeneğine sahip olmak bazı gizlilik endişelerini gidermeye yardımcı olur.
Güncelleme 3: Xiaomi, gizli veri toplama geçişini netleştirmek için Mi Tarayıcısını ve Mint Tarayıcısını güncelliyor
Xiaomi, gizlilik endişelerini yeni bir ayar düğmesiyle ele alırken, gerçekte olan şey, geçiş için kullanılan dilin yanıltıcı olması ve yazılanların tam tersini sağlamasıydı. Gibi Android Otoritesi işaret, “gelişmiş gizli mod” geçiş dedi ki: “Gizli mod açıkken toplu veri istatistikleri yüklenmeyecek”, bu da kullanıcıların, düğmeyi açmanın bu ifadeyi doğrulayacağına inanmasına neden oldu. Ancak durum böyle değildi. İfadeler, geçişin mevcut durumunu yansıtıyordu ve düğmeyi çevirerek değiştirebileceğiniz bir doğru/yanlış ifadesi değildi.
Eski davranış
Şimdi Xiaomi, bu geçişte daha iyi bir dile sahip olmak için Mi Tarayıcı ve Mint Tarayıcısını güncelledi. Geçişin adı artık "Mi/Mint Tarayıcısını geliştirmemize yardımcı olun"ve beraberindeki metin şunu söylüyor:"Gizli mod açıkken kullanım istatistiklerini bizimle paylaşmak için açın", anahtarı çevirdiğinizde metin aynı kalır. Bu, ortamın amacı ve aktif durumu açısından çok daha açıktır.
Yeni davranış
Verilerinizin gizli modda toplanmasını istemiyorsanız her iki versiyonda da düğmenin kapalı durumda olması gerekir. Durumu daha iyi yansıtacak şekilde değişen yalnızca metindir. Her iki tarayıcıya da gelen yeni güncelleme Google Play Store'a gönderiliyor.