Дослідники з кібербезпеки знайшли докази того, що браузери Xiaomi збирали інформацію про веб-перегляд навіть у режимі інкогніто. Читайте далі, щоб дізнатися більше!
Оновлення 3 (21.05.2020 о 01:48 за східним часом): Xiaomi оновила налаштування свого веб-переглядача, щоб уточнити їхнє призначення, усунувши попередню плутанину.
Оновлення 2 (03.05.2020 о 10:14 за східним часом): У своєму оновленому блозі Xiaomi згадала, що її браузери будуть оновлені з опцією, яка дозволить користувачам відмовитися від відстеження в режимі анонімного перегляду.
Оновлення 1 (01.05.2020 о 15:36 EST): Xiaomi опублікувала допис у блозі у відповідь на ці звинувачення. Прокрутіть вниз, щоб переглянути оновлення. Оригінальна історія, опублікована 1 травня 2020 року о 06:18 за східним стандартним часом, така.
Смартфони Xiaomi одностайно визнані одними з найвигідніших покупок на ринку в будь-який момент часу. Упаковка божевільне обладнання за дуже вигідними цінами, особливо в нижній частині ринку смартфонів, ці телефони пропонують пропозицію, від якої багато людей просто не можуть відмовитися. Xiaomi також сприйняла потреби спільноти розробників, прийнявши такі рішення, як
дозволяє розблокувати завантажувач без шкоди для гарантії виробника -- комбінація, від якої багато інших популярних OEM-виробників відмовляються, а також значно вдосконалюють свої вихідні версії ядра. Ці причини роблять їх одними з найпопулярніших пристроїв на наших форумах, і вони по праву заслужили цю популярність.Однак останні звіти дослідників безпеки вказують на тривожну проблему конфіденційності, яка спостерігається у веб-переглядачах Xiaomi. Співавтор Forbes з кібербезпеки та помічник редактора Томас Брюстерразом із дослідниками кібербезпеки Габріель Цирліг і Ендрю Тірні недавно підсумовується у звіті що різні веб-браузери Xiaomi надсилали дані на віддалені сервери. Вони стверджують, що надіслані дані включали історію всіх відвіданих веб-сайтів, включаючи URL-адреси, усі запити пошукової системи та всі елементи, які переглядаються в стрічці новин Xiaomi, разом із пристроєм метадані. Що навіть викликає занепокоєння щодо цього звинувачення у зборі даних, так це те, що ці дані збираються, навіть якщо ви, здавалося б, переглядаєте сторінку в режимі анонімного перегляду.
Цей збір даних, здається, відбувається в попередньо встановленому стандартному браузері на MIUI, а також Mi Browser Pro і Браузер Mint, обидва з яких доступні для завантаження через Google Play Store. Разом ці браузери мають понад 15 мільйонів завантажень у Play Store, а стандартний браузер попередньо встановлено на всіх пристроях Xiaomi. Серед протестованих пристроїв Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 і Xiaomi Mi Mix 3. Не було різниці між пристроями Xiaomi Android One і MIUI, оскільки код колекції все одно було знайдено в браузері за замовчуванням. Таким чином, ця проблема не зосереджена на MIUI, але залежить від того, чи використовуєте ви будь-який із цих трьох браузерів на своєму пристрої, незалежно від основної ОС. Інші браузери, такі як Google Chrome і Apple Safari, збирають набагато менше даних, обмежуючись аналітикою використання та збоїв.
Xiaomi відповіла, нібито підтвердивши, що дані веб-перегляду, які вона збирає, повністю відповідають місцевим законам і нормам щодо конфіденційності даних користувачів. Зібрана інформація була згода користувача та анонімна. Однак компанія спростувала твердження в дослідженні.
Твердження дослідження не відповідають дійсності. Конфіденційність і безпека є головною проблемою.
У цьому відео показано збір анонімних даних веб-перегляду, що є одним із найпоширеніших рішень Інтернет-компанії, щоб покращити загальну роботу веб-переглядача за допомогою аналізу неособистих даних інформації.
Однак дослідники визнали цю заяву про анонімність сумнівною. Дані, які Xiaomi надсилала, були «зашифрованими», але вони були закодовані в base64, який можна легко декодувати. Оскільки дані веб-перегляду можуть бути декодується досить тривіальним способом, і оскільки зібрані дані також містили метадані пристрою, ці дані веб-перегляду, здавалося б, можна без особливих зусиль співвіднести з діями окремих користувачів.
Крім того, дослідники виявили, що браузери Xiaomi перевіряли домени, пов’язані з сенсорами Analytics, китайський стартап, також відомий як Sensors Data, відомий тим, що надає аналітику поведінки послуги. Браузери також містили API під назвою SensorDataAPI. Xiaomi також вказана як клієнт на Веб-сайт Sensors Data.
Xiaomi відповіла на звіт Forbes спростуванням кількох аспектів:
Хоча Sensors Analytics надає рішення для аналізу даних для Xiaomi, зібрані анонімні дані є зберігається на власних серверах Xiaomi і не буде передано Sensors Analytics або будь-якій іншій третій стороні компаній.
Дослідники відповіли на заперечення Xiaomi ще один доказ їхньої практики збору даних.
Маючи наявну інформацію, здається, що у роботі цих браузерів існує тривожна проблема конфіденційності. Ми звернулися до Xiaomi, щоб отримати додаткові коментарі щодо цих заяв.
Джерело: Forbes
Оновлення 1: Xiaomi відповідає у дописі в блозі
В ан офіційний допис у блозі на Mi.com Xiaomi рішуче спростувала звинувачення в тому, що вони порушували конфіденційність користувачів.
«Xiaomi була розчарована, прочитавши нещодавню статтю від Forbes. Ми вважаємо, що вони неправильно зрозуміли те, що ми повідомили щодо наших принципів і політики конфіденційності даних. Конфіденційність наших користувачів і безпека в Інтернеті є головним пріоритетом Xiaomi; ми впевнені, що суворо дотримуємося та повністю відповідаємо місцевим законам і нормам. Ми звернулися до Forbes, щоб надати ясність щодо цього прикрого неправильного тлумачення».
Компанія підтверджує, що збирає «сукупні статистичні дані про використання», які включають «системну інформацію, налаштування, використання функцій інтерфейсу користувача, швидкість реагування, продуктивність, використання пам'яті та звіти про збої". Вони заявляють, що ця інформація "не може бути використана для ідентифікації будь-якої особи". Вони підтверджують що URL-адреси збираються, але це робиться для «виявлення веб-сторінок, які завантажуються повільно», щоб вони могли зрозуміти, «як найкраще покращити загальний перегляд продуктивність».
Далі компанія заявляє, що індивідуальна історія веб-перегляду синхронізується, але це робиться лише тоді, коли «користувач увійшов в обліковий запис Mi… і налаштована функція синхронізації даних». «Увімкнути» в розділі «Налаштування». Вони заперечують, що дані веб-перегляду, окрім згаданих вище даних сукупної статистики використання, синхронізуються, коли користувач увімкнув режим анонімного перегляду.
Потім Xiaomi опублікувала скріншоти фрагментів коду з одного зі своїх браузерних додатків (хоча вони не вказали, який браузер), які, як вони стверджують, демонструють їхню думку. За словами Xiaomi, перший фрагмент коду показує декомпільований метод того, «як [вони] створюють випадково згенеровані унікальні токени для додавання до сукупної статистики використання». Вони стверджують, що «ці токени не відповідають жодним особам." Наступний фрагмент коду, здається, взято з вихідного коду веб-переглядача та показує метод "як Mi Browser працює в режимі анонімного перегляду, де ні дані веб-перегляду користувача будуть синхронізовані." Третій фрагмент коду демонструє, що сукупна статистика використання, яку збирає Xiaomi, "зберігається в домені Xiaomi" і не передається в Sensor Аналітика. Нарешті, четверте зображення «показує, що статистичні дані про використання передаються за допомогою протоколу HTTPS із шифруванням TLS 1.2».
Щоб завершити все, Xiaomi посилається на 4 сертифікати, отримані їх програмним забезпеченням від TrustArc і British Standard Institution (BSI). Ці сертифікати включають ISO27001:2013, ISO27018:2014, ISO29151:2017 і TRUSTe.
У відповідь на цю публікацію в блозі дослідник кібербезпеки Ендрю Тірні звернувся до Twitter щоб спростувати заяви Xiaomi. Він заявляє, що він і кілька інших повторно підтвердили висновки на кількох пристроях — що «безсумнівно, що браузер Mint надсилає пошукові терміни та URL-адреси, поки в режимі анонімного перегляду». Він стверджує, що опублікований Xiaomi код не демонструє, що їхні «випадково згенеровані унікальні токени» не можуть бути пов’язані з окремими особами. Дослідники відзначають, що UUID здається зберігаються протягом сеансів перегляду і тільки зміни при перевстановленні браузера. Чи Xiaomi зберігає дані лише на власних серверах чи деінде, також не було предметом суперечок для дослідника. Крім того, дослідник стверджує, що Xiaomi не звинувачували в відправці даних на віддалені сервери небезпечними методами—г. Тірні зазначає, що проблема полягає в самих даних надісланий.
Ми раді бачити, що Xiaomi прямо звертається до цих звинувачень, але на даний момент це пояснення, здається, не задовольняє дослідників. Ми будемо стежити за цією історією для подальшого розвитку подій.
Оновлення 2: Xiaomi запропонує опцію відмови в наступному оновленні веб-переглядача
Xiaomi оновила свій публікація в блозі щоб оголосити, що наступне оновлення для браузерів Mint і Mi Browser включатиме опцію в режимі анонімного перегляду, щоб вимкнути «зведений» збір даних. Оновлення програмного забезпечення буде надіслано в Google Play Store для затвердження сьогодні, і вони повинні бути доступні для користувачів досить скоро.
Залишається побачити, чи буде цей збір даних увімкнено за замовчуванням у режимі анонімного перегляду чи ні. Ми сподіваємося, що це не так. Тим не менш, наявність опції відмови працює для вирішення деяких проблем конфіденційності.
Оновлення 3: Xiaomi оновлює свої браузери Mi та Mint Browser, щоб уточнити перемикач збору даних у режимі анонімного перегляду
Хоча Xiaomi вирішила питання конфіденційності за допомогою нового перемикача налаштувань, насправді сталося те, що мова, використана для перемикання, вводила в оману, досягаючи протилежного написаного. як Android Authority вказує на те, "розширений режим інкогніто" перемикач сказав: "Зведені статистичні дані не завантажуватимуться, якщо ввімкнено режим анонімного перегляду», що змусило користувачів повірити, що ввімкнення перемикача зробить це твердження правдивим. Але це було не так. Формулювання відображало поточний стан перемикача і не було твердженням «істина/неправда», яке можна змінити, переклавши перемикач.
Стара поведінка
Тепер Xiaomi оновила Mi Browser і Mint Browser, щоб мати кращу мову для цього перемикача. Перемикач тепер називається "Допоможіть нам покращити браузер Mi/Mint", а супровідний текст говорить "Увімкніть, щоб ділитися з нами статистикою використання, коли ввімкнено режим анонімного перегляду", при цьому текст залишається незмінним, коли ви повертаєте перемикач. Це набагато зрозуміліше для призначення та активного стану налаштування.
Нова поведінка
В обох версіях перемикач має бути вимкнено, якщо ви не хочете, щоб ваші дані збиралися в режимі анонімного перегляду. Просто текст змінюється, щоб краще відображати стан. Нове оновлення для обох веб-переглядачів розміщено в Google Play Store.