Před pár dny zveřejnil Forbes hlavní příběh o tom, jak Xiaomi shromažďuje data prohlížeče, včetně adres URL navštívených uživateli Mi. Zatímco sběr dat je dnes běžný u většiny prohlížečů na trhu, zpráva zdůrazňuje, že hledané výrazy a adresy URL byly sledovány i v režimu uzavřeného prohlížeče známém jako anonymní.
Dříve dnes společnost Xiaomi zveřejnila blog v reakci na tento příběh, který vysvětlil jeho stránku příběhu. Jejich oficiální odpověď si můžete přečíst z zde.
Abych lépe pochopil, co se v tomto příběhu děje, shrnul jsem všechny obvinění a odpovědi na každý z nich. Také jsem přidal to, co výzkumník Andrew Tierney musel říci o každé z odpovědí.
Najít 1:
Gabriel Kirlig (jako první to našel a vysvětlil to dovnitř Forbes příběhy) zjistil, že Xiaomi Mi Browser a Mint Browser sledovaly všechny webové stránky, které uživatel Mi navštívil, včetně vyhledávání Google a Google. DuckDuckGo. Sledování bylo běžné, i když byl prohlížeč přepnut do soukromého nebo anonymního režimu. Telefon také sledoval údaje o využití a odeslal je zpět na servery Xiaomi.
Odpověď Xiaomi:
Společnost Xiaomi umožňuje sběr uživatelských dat, jako jsou „systémové informace, předvolby, použití funkcí uživatelského rozhraní, odezva, výkon, využití paměti a hlášení o selhání“.
Nezmiňuje výslovně hledané výrazy, ale dodává, že shromažďuje adresy URL - " URL je shromažďována za účelem identifikace webových stránek, které se načítají pomalu; dává nám představu o tom, jak nejlépe zlepšit celkový výkon prohlížeče. “
Společnost Xiaomi také dodala, že údaje o procházení shromažďuje pouze tehdy, když je uživatel přihlášen ke svému účtu Mi a je povoleno nastavení synchronizace.
Společnost Xiaomi také potvrdila, že shromažďuje údaje o uživatelských statistikách i v anonymním režimu. To je překvapivé vzhledem k tomu, že adresy URL jsou také součástí statistických údajů uživatele (což potvrzuje jejich oficiální prohlášení).
Kromě oficiálního oznámení Mi Blogu to dnes uvedl CEO Xiaomi India ve speciálním videu Xiaomi shromažďuje pouze data, s nimiž uživatelé souhlasili. Zdůraznil také, že data shromážděná v anonymním režimu jsou „šifrovaná a anonymní“. Můžete sledovat video níže (některé části jsou v hindštině, ale vysvětlil to také v angličtině).
Odpověď výzkumného pracovníka:
Andrew Tierney odpověď Xiaomi nepřesvědčila.
Nejprve jsme dnes a několik dalších lidí znovu potvrdili přijatá data na několika zařízeních. Není pochyb o tom, že prohlížeč Mint zadává hledané výrazy a adresy URL v režimu Incognto.
- Cybergibbons (@cybergibbons) 1 května 2020 město
Zatímco společnost Xiaomi odmítla shromažďovat uživatelská data v anonymním režimu, Andrew před několika minutami vydal nové video, které ukazuje, jak Xiaomi's Mint Browser shromažďoval důležitá uživatelská data, a to i v soukromém režimu. Je zajímavé vidět zde, že shromážděná data mají UUID (univerzálně jedinečný identifikátor), který se nezmění po dobu nejméně 24 hodin. Data shromážděná a odeslaná na servery tak mohou být potenciálně sledována jednotlivým uživatelem.
Hledání 2:
Uživatelská data Mi byla odeslána na vzdálené servery v zemích, jako je Singapur a Rusko, přičemž webové domény byly registrovány v Pekingu.
Odpověď Xiaomi:
„Společnost Xiaomi hostí informace o veřejné cloudové infrastruktuře, které jsou v tomto odvětví rozšířené. Všechny informace z našich zámořských služeb a uživatelů jsou uloženy na serverech na různých zámořských trzích, kde jsou přísně dodržovány místní zákony a předpisy o ochraně osobních údajů a které plně dodržujeme. “
Generální ředitel společnosti Xiaomi India ve svém videu rovněž uvedl, že „Všechna data od uživatelů Mi v Indii zůstávají na indických serverech.“
Najít 3:
Uživatelská data odeslaná na servery byla zakódována do base64, což je snadné sledovat. Tímto způsobem lze data číst, alespoň na straně klienta.
Odpověď Xiaomi:
Společnost Xiaomi se ve svém blogu této záležitosti opravdu nedotkla. Zmínil, že odesílaná data jsou šifrována pomocí šifrování TLS 1.2. Přenášená data tedy nelze zachytit. Společnost ale nemluvila o kódování base64 na straně klienta.
Tento obrázek poskytnutý společností Xiaomi ukazuje, že data statistik využití jsou přenášena pomocí šifrovacího protokolu TLS 1.2 HTTPS.
Odpověď výzkumného pracovníka:
No, to je TLS 1.2. Alespoň nějaký náhodný to nedokáže zachytit.
Nemyslím si, že by se o tom někdy diskutovalo. Jedná se o šifrování přenosu na servery, nesouhlasil jsem se zasíláním dat. pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 května 2020 město
Hledání 4:
Shromážděné údaje o uživatelích nebyly anonymní. Gabi a další vědci zjistili, že uživatelská data odeslaná na servery Xiaomi mohou být potenciálně identifikována pro konkrétního uživatele, protože mají přiřazený UUID (univerzálně jedinečný identifikátor).
Odpověď Xiaomi:
„Tento snímek obrazovky ukazuje kód toho, jak vytváříme náhodně generované jedinečné tokeny, které se přidávají do agregovaných statistik využití, a tyto tokeny neodpovídají žádné osobě.“
Odpověď výzkumného pracovníka:
Andrewovo ukázkové video ukázalo, že jeho datům shromážděným prohlížečem byl přidělen speciální UUID pro všechna data odeslaná během 24 hodin. Obrázek, který Xiaomi použil k prokázání anonymity údajů, ho nepřesvědčil.
Obzvláště mě zajímá, protože se jedná o post-zmatený kód - cb atd. Ukazuje, že se nejedná o surový zdroj.
Proč je to?
Ale co je důležitější, volání UUID „anonymní“ neznamená, že je anonymní.
- Cybergibbons (@cybergibbons) 1 května 2020 město
Náš názor:
Téměř každý prohlížeč na světě shromažďuje uživatelská data. Někteří to mohou omezit na hlášení o selhání, zatímco jiné prohlížeče mohou být trochu invazivnější a shromažďovat údaje o využití.
I když si nejsme jisti, kolik datových prohlížečů, jako jsou Google Chrome a Firefox, shromažďuje, víme, že shromažďování vyhledávacích dotazů a adres URL, dokonce ani v anonymním režimu, není normální.
Speciální režim zobrazení nebo režim inkognito existuje konkrétně, aby se zabránilo sledování. A Andrewovo demo video jasně ukazuje, kolik dat je odesláno zpět na servery Xiaomi, včetně vyhledávání a anonymních URL. Společnost Xiaomi tvrdí, že tato data jsou anonymizována (možná na straně serveru), ale měli by jít ven a podrobně vysvětlit proces.
Oficiální prohlášení společnosti Xiaomi zdůrazňují, že shromažďují pouze data, s nimiž uživatel souhlasil. Společnost proto také potřebuje vyjasnit, zda její zásady ochrany osobních údajů a shromažďování údajů zahrnují shromažďování hledaných výrazů a dalších údajů o uživatelích, a to i v anonymním režimu.
Pojmenujte tuto zprávu falešné zprávy - není to nejlepší odpověď. Xiaomi musí přijít a vyvrátit každý ze zjištění dvou výzkumníků. Pokud to Xiaomi nedokáže, měla by společnost co nejdříve vysvětlit a revidovat své zásady shromažďování údajů.
