Sengketa Ngumpulake Data Pribadi Xiaomi: Kabeh Tuduhan lan Jawaban

Pirang dina kepungkur, Forbes ngirim crita utama babagan Xiaomi nglumpukake data browser, kalebu URL sing dikunjungi dening pangguna Mi. Nalika nglumpukake data wis umum ing antarane browser ing pasar saiki, laporan kasebut nyoroti manawa istilah telusuran lan URL dilacak malah ing mode browser tertutup sing dikenal minangka penyamaran.

Sadurungé dina iki, Xiaomi ngirim blog kanggo nanggepi crita iki, nerangake babagan crita kasebut. Sampeyan bisa maca jawaban resmi saka kene.

Redmi note 8 pro tampil 05

Kanggo luwih ngerti apa sing kedadeyan ing crita iki, aku wis ngringkes kabeh tuduhan lan jawaban kanggo masing-masing. Aku uga nambah apa sing dicritakake dening peneliti Andrew Tierney babagan saben jawaban.

Golek 1:

Gabriel Kirlig (dheweke sing pertama nemokake iki lan nerangake ing Crita Forbes) nemokake manawa Mi Browser lan Mint Browser Xiaomi nglacak kabeh situs web sing dikunjungi pangguna Mi, kalebu telusuran Google lan Google. DuckDuckGo. Lacak umum sanajan browser dilebokake ing mode pribadi utawa samaran. Telpon uga nglacak data panggunaan lan dikirim maneh menyang server Xiaomi.

Wangsulane Xiaomi:

Xiaomi ngidini nglumpukake data pangguna kayata "informasi sistem, pilihan, panggunaan fitur antarmuka panganggo, responsif, kinerja, panggunaan memori lan nglaporake kacilakan."

Ora jelas nyebutake istilah telusuran, nanging nambahake yen nglumpukake URL - " URL diklumpukake kanggo ngenali kaca web sing dimuat alon-alon; menehi idea babagan cara paling apik kanggo nambah kinerja browser kanthi sakabehe. "

Xiaomi uga nambahake yen mung nglumpukake data browsing nalika pangguna mlebu ing akun Mi lan setelan sinkronisasi diaktifake.

Xiaomi uga wis ngonfirmasi manawa nglumpukake data statistik pangguna sanajan ing mode penyamaran. Iki ngagetne amarga URL uga minangka bagean saka data statistik pangguna (sing dikonfirmasi kanthi pernyataan resmi).

Saliyane woro-woro resmi Mi Blog, CEO Xiaomi India nyatakake dina iki ing video khusus sing Xiaomi mung nglumpukake data sing wis disarujuki pangguna. Dheweke uga negesake manawa data sing dikumpulake ing mode inkognito "dienkripsi lan anonim." Sampeyan bisa nonton video ing ngisor iki (sawetara bagean ing Hindi, nanging dheweke uga nerangake nganggo basa Inggris).

Wangsulan peneliti:

Andrew Tierney ora yakin karo wangsulane Xiaomi.

Kaping pisanan, dina iki, aku lan sawetara wong konfirmasi maneh data sing ditampa ing sawetara piranti. Ora ana sangsi manawa browser Mint ngirim istilah telusuran lan URL ing mode Nyamar.

- Cybergibbons (@cybergibbons) 1 May 2020

Nalika Xiaomi nolak nglumpukake data pangguna ing mode penyamaran, Andrew nerbitake video anyar sawetara menit kepungkur nuduhake kepiye Xiaomi Mint Browser nglumpukake data pangguna penting, sanajan ing mode pribadi. Menarik banget ing kene yen data sing diklumpukake duwe UUID (Pengenal Unik Internasional) sing ora bakal paling ora 24 jam. Mangkono, data sing diklumpukake lan dikirim menyang server bisa dilacak dening pangguna individu.

Nggoleki 2:

Data pangguna Mi dikirim menyang server jarak jauh ing negara-negara kayata Singapura lan Rusia, kanthi domain web sing didaftar ing Beijing.

Wangsulane Xiaomi:

"Xiaomi nyedhiyakake informasi infrastruktur awan umum sing nyebar ing industri kasebut. Kabeh informasi saka layanan lan pangguna ing jaban rangkah disimpen ing server ing macem-macem pasar ing jaban rangkah, ing endi ukum lan peraturan lokal babagan nglindhungi data pribadi ditrapake kanthi ketat lan sing kita tundhuk. "

CEO Xiaomi India uga ujar ing video kasebut, "Kabeh data saka pangguna Mi ing India tetep ana ing server India."

Golek 3:

Data pangguna sing dikirim menyang server wis dienkode base64, sing gampang dilacak. Kanthi cara iki data bisa diwaca, paling ora ing sisih klien.

Wangsulane Xiaomi:

Ya, Xiaomi durung ngerti babagan masalah iki ing blog. Dheweke ujar manawa data sing dikirim ndhelik nggunakake enkripsi TLS 1.2. Dadi, data sing dikirim ora bisa dicegat. Nanging perusahaan ora ngandhani babagan encoding data base64 ing sisih klien.

Gambar iki, sing disedhiyakake dening Xiaomi, nuduhake manawa data statistik panggunaan ditularake nggunakake protokol enkripsi TLS 1.2 HTTPS.

Wangsulan peneliti:

Ya, iku TLS 1.2. Paling ora ana sing acak ora bisa nyegat.

Aku ora ngira iki wis dirembug. Iki minangka enkripsi transportasi menyang server, aku ora setuju ngirim data. pic.twitter.com/sENH5OhEzN

- Cybergibbons (@cybergibbons) 1 May 2020

Nggoleki 4:

Data pangguna sing dikoleksi ora anonim. Gabi lan peneliti liyane nemokake manawa data pangguna sing dikirim menyang server Xiaomi bisa diidentifikasi karo pangguna tartamtu amarga duwe UUID sing ditugasake (pengenal unik universal).

Wangsulane Xiaomi:

"Cuplikan layar iki nuduhake kode babagan cara nggawe token unik sing digawe kanthi acak kanggo ditambah kanggo statistik panggunaan agregat, lan token kasebut ora cocog karo wong liya."

Wangsulan peneliti:

Video demo Andrew nuduhake manawa data sing dikoleksi dening browser diwenehi UUID khusus kanggo kabeh data sing dikirim liwat 24 jam. Dheweke ora yakin karo gambar sing digunakake Xiaomi kanggo nuduhake manawa data kasebut anonim.

Aku luwih seneng amarga iki kode post-obfuscated - cb, lsp. Nuduhake manawa iki dudu sumber mentah.

Nopo iki

Nanging sing luwih penting, nyebut UUID "anonim" ora bakal nggawe anonim.

- Cybergibbons (@cybergibbons) 1 May 2020

Kita njupuk:

Meh kabeh browser ing donya nglumpukake data pangguna. Sawetara bisa matesi iki kanggo nglaporake crash, dene browser liyane bisa uga invasif lan nglumpukake data panggunaan.

Sanajan ora yakin jumlah browser data kaya sing dikoleksi Google Chrome lan Firefox, kita ngerti manawa nglumpukake istilah telusuran lan URL, sanajan ing mode penyamaran, ora normal.

Mode tampilan khusus utawa mode samaran ana khusus supaya ora dilacak. Lan video demo Andrew jelas nuduhake sepira data sing dikirim maneh menyang server Xiaomi, kalebu telusuran lan URL penyamaran. Xiaomi negesake manawa data iki anonim (bisa uga ana ing sisih server), nanging kudu metu lan nerangake proses kanthi rinci.

Pernyataan resmi Xiaomi negesake manawa mung nglumpukake data sing wis disarujuki pangguna. Mula, perusahaan uga kudu njlentrehake manawa kabijakan privasi lan pengumpulan data kalebu klumpukne istilah telusuran lan data pangguna liyane, sanajan ing mode penyamaran.

Jeneng laporan iki warta palsu - dudu wangsulan sing paling apik. Xiaomi kudu maju lan nolak saben temuan loro peneliti. Yen Xiaomi ora bisa nindakake iki, perusahaan kudu nerangake lan revisi kabijakan pengumpulan data kasebut kanthi cepet.

Golek 1:

Nggoleki 2:

Golek 3:

Nggoleki 4:

Kita njupuk:

Add a comment Отменить ответ

Review Xiaomi Mi Notebook Pro 15: layar OLK 3.5K kanthi rega sing terjangkau

Ide Hadiah Natal Blackview 2021 Kanggo Saben uwong

BigBlue Natal Sale Nganti $ 110 Off

Entuk diskon nganti 25% saka Baseus Tech Gear lan liya-liyane

Smartwatch anggaran Gocomma W5: dual kamera, 4G, regane ing Gearbest yaiku $ 63,99

Beelink U59 Mini PC Pre-Order - $269,99 [11.11/XNUMX Sale]

Golek 1:

Nggoleki 2:

Golek 3:

Nggoleki 4:

Kita njupuk:

Meizu 17 seri lengkap karo GaN Super Charger

Google Pixel 4A katon ing GeekBench nalika lagi diluncurake

Add a comment Отменить ответ

Artikel sing padha

Huawei nggodha Mate X2 kanthi pamer desain lempitan sing apik

Seri Huawei P50 bakal nampa perbaikan utama ing desain lan kamera

Robot asal Amazon, sing diarani jeneng Vesta, dilaporake ing tahap pembangunan sing luwih maju.

Seri Samsung Galaxy S21 bisa uga wiwit nampa nganyari Stable One UI 4 (Android 12).

Review Xiaomi Mi Notebook Pro 15: layar OLK 3.5K kanthi rega sing terjangkau

Ide Hadiah Natal Blackview 2021 Kanggo Saben uwong

BigBlue Natal Sale Nganti $ 110 Off

Entuk diskon nganti 25% saka Baseus Tech Gear lan liya-liyane

Smartwatch anggaran Gocomma W5: dual kamera, 4G, regane ing Gearbest yaiku $ 63,99

Beelink U59 Mini PC Pre-Order - $269,99 [11.11/XNUMX Sale]