កាលពីប៉ុន្មានថ្ងៃមុន ទស្សនាវដ្ដី Forbes បានចុះផ្សាយរឿងដ៏ធំមួយអំពីរបៀបដែល Xiaomi កំពុងប្រមូលទិន្នន័យកម្មវិធីរុករក រួមទាំង URLs ដែលបានចូលមើលដោយអ្នកប្រើប្រាស់ Mi ។ ខណៈពេលដែលការប្រមូលទិន្នន័យគឺជារឿងធម្មតាក្នុងចំណោមកម្មវិធីរុករកតាមអ៊ីនធឺណិតភាគច្រើននៅលើទីផ្សារនាពេលបច្ចុប្បន្ននេះ របាយការណ៍បានគូសបញ្ជាក់ថាពាក្យស្វែងរក និង URLs ត្រូវបានតាមដានសូម្បីតែនៅក្នុងរបៀបឯកជនរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត ដែលត្រូវបានគេស្គាល់ថាជាអនាមិក។
កាលពីដើមថ្ងៃនេះ Xiaomi បានចេញផ្សាយប្លក់មួយដើម្បីឆ្លើយតបនឹងរឿងនេះ ដោយពន្យល់ពីផ្នែករបស់វានៃរឿងនេះ។ អ្នកអាចអានការឆ្លើយតបជាផ្លូវការរបស់ពួកគេពី នៅទីនេះ.
ដើម្បីយល់កាន់តែច្បាស់អំពីអ្វីដែលកំពុងកើតឡើងនៅក្នុងរឿងនេះ ខ្ញុំបានសង្ខេបរាល់ការចោទប្រកាន់ និងចម្លើយចំពោះពួកគេម្នាក់ៗ។ ខ្ញុំក៏បានបន្ថែមនូវអ្វីដែលអ្នកស្រាវជ្រាវ Andrew Tierney និយាយអំពីចម្លើយនីមួយៗ។
ស្វែងរក 1៖
Gabriel Kirlig (គាត់គឺជាមនុស្សដំបូងគេដែលស្វែងរករឿងនេះ ហើយពន្យល់វានៅក្នុង រឿងរ៉ាវរបស់ Forbes) បានរកឃើញថា Mi Browser និង Mint Browser របស់ Xiaomi តាមដានគេហទំព័រទាំងអស់ដែលបានចូលមើលដោយអ្នកប្រើប្រាស់ Mi រួមទាំងការស្វែងរករបស់ Google និង Google ។ DuckDuckGo ។ ការតាមដានគឺជារឿងធម្មតា សូម្បីតែនៅពេលកម្មវិធីរុករកតាមអ៊ីនធឺណិតត្រូវបានកំណត់ទៅជាទម្រង់ឯកជន ឬអនាមិកក៏ដោយ។ ទូរស័ព្ទក៏បានតាមដានទិន្នន័យប្រើប្រាស់ និងបញ្ជូនវាត្រឡប់ទៅម៉ាស៊ីនមេរបស់ Xiaomi វិញ។
ការឆ្លើយតបរបស់ Xiaomi៖
Xiaomi អនុញ្ញាតឱ្យប្រមូលទិន្នន័យអ្នកប្រើប្រាស់ដូចជា "ព័ត៌មានប្រព័ន្ធ ចំណូលចិត្ត ការប្រើប្រាស់មុខងារចំណុចប្រទាក់អ្នកប្រើប្រាស់ ការឆ្លើយតប ការអនុវត្ត ការប្រើប្រាស់អង្គចងចាំ និងរបាយការណ៍គាំង។"
វាមិនបាននិយាយយ៉ាងច្បាស់អំពីពាក្យស្វែងរកទេ ប៉ុន្តែបន្ថែមថាវាប្រមូល URLs - " URL ត្រូវបានប្រមូលដើម្បីកំណត់អត្តសញ្ញាណគេហទំព័រដែលផ្ទុកយឺត។ វាផ្តល់ឱ្យយើងនូវការយល់ដឹងអំពីវិធីធ្វើឱ្យប្រសើរឡើងនូវដំណើរការកម្មវិធីរុករកទាំងមូលឱ្យកាន់តែប្រសើរឡើង។"
Xiaomi ក៏បានបន្ថែមថា វាប្រមូលបានតែទិន្នន័យរុករកនៅពេលដែលអ្នកប្រើប្រាស់ចូលទៅក្នុងគណនី Mi របស់ពួកគេ ហើយការកំណត់សមកាលកម្មត្រូវបានបើក។
Xiaomi ក៏បានបញ្ជាក់ផងដែរថាខ្លួនប្រមូលទិន្នន័យស្ថិតិអ្នកប្រើប្រាស់សូម្បីតែនៅក្នុងរបៀបអនាមិក។ នេះគួរឱ្យភ្ញាក់ផ្អើលដែលពិចារណាថា URLs ក៏ជាផ្នែកនៃទិន្នន័យស្ថិតិអ្នកប្រើប្រាស់ផងដែរ (ដូចបានបញ្ជាក់ដោយសេចក្តីថ្លែងការណ៍ផ្លូវការរបស់ពួកគេ)។
បន្ថែមពីលើសេចក្តីថ្លែងការណ៍ផ្លូវការរបស់ Mi Blog នាយកប្រតិបត្តិ Xiaomi India បាននិយាយនៅថ្ងៃនេះនៅក្នុងវីដេអូពិសេសមួយ។ Xiaomi ប្រមូលតែទិន្នន័យដែលអ្នកប្រើប្រាស់យល់ព្រម។ គាត់ក៏បានសង្កត់ធ្ងន់ថាទិន្នន័យដែលប្រមូលបាននៅក្នុងរបៀបអនាមិកគឺ "ត្រូវបានអ៊ិនគ្រីប និងអនាមិក"។ អ្នកអាចមើលវីដេអូខាងក្រោម (ផ្នែកខ្លះជាភាសាហិណ្ឌី ប៉ុន្តែគាត់បានពន្យល់ជាភាសាអង់គ្លេសផងដែរ)។
ការឆ្លើយតបរបស់អ្នកស្រាវជ្រាវ៖
ជាការប្រសើរណាស់, Andrew Tierney មិនត្រូវបានគេជឿជាក់ចំពោះការឆ្លើយតបរបស់ Xiaomi ទេ។
ជាដំបូង ថ្ងៃនេះខ្ញុំ និងមនុស្សមួយចំនួនទៀតបានអះអាងឡើងវិញនូវទិន្នន័យដែលទទួលបាននៅលើឧបករណ៍មួយចំនួន។ គ្មានការសង្ស័យទេដែលកម្មវិធីរុករក Mint ផ្ញើពាក្យស្វែងរក និង URLs នៅក្នុងរបៀបអនាមិក។
— Cybergibbons (@cybergibbons) ដំបែ 1 2020
ទោះបីជា Xiaomi បានបដិសេធថាខ្លួនបានប្រមូលទិន្នន័យអ្នកប្រើប្រាស់នៅក្នុងរបៀបអនាមិកក៏ដោយ Andrew បានចេញវីដេអូថ្មីមួយកាលពីប៉ុន្មាននាទីមុនដែលបង្ហាញពីរបៀបដែលកម្មវិធីរុករក Mint របស់ Xiaomi ប្រមូលទិន្នន័យអ្នកប្រើប្រាស់សំខាន់ៗ សូម្បីតែនៅក្នុងរបៀបឯកជនក៏ដោយ។ អ្វីដែលគួរឱ្យចាប់អារម្មណ៍ក្នុងការមើលនៅទីនេះគឺថាទិន្នន័យដែលបានប្រមូលមាន UUID (ឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់ជាសកល) ដែលមិនផ្លាស់ប្តូរយ៉ាងហោចណាស់ 24 ម៉ោង។ ដូច្នេះ ទិន្នន័យដែលប្រមូលបាន និងផ្ញើទៅកាន់ម៉ាស៊ីនមេ អាចមានសក្តានុពលត្រូវបានតាមដានដោយអ្នកប្រើប្រាស់ម្នាក់ៗ។
ការស្វែងរក 2:
ទិន្នន័យអ្នកប្រើប្រាស់ Mi ត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយក្នុងប្រទេសដូចជាសិង្ហបុរី និងរុស្ស៊ី ដោយមានគេហទំព័រចុះឈ្មោះក្នុងទីក្រុងប៉េកាំង។
ការឆ្លើយតបរបស់ Xiaomi៖
“Xiaomi រៀបចំហេដ្ឋារចនាសម្ព័ន្ធពពកសាធារណៈដែលរីករាលដាលនៅក្នុងឧស្សាហកម្មនេះ។ ព័ត៌មានទាំងអស់ពីសេវាកម្ម និងអ្នកប្រើប្រាស់នៅក្រៅប្រទេសរបស់យើងត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេនៅក្នុងទីផ្សារក្រៅប្រទេសផ្សេងៗ ដែលច្បាប់ និងបទប្បញ្ញត្តិភាពឯកជនក្នុងតំបន់ត្រូវបានអនុវត្តយ៉ាងតឹងរ៉ឹង ហើយដែលយើងគោរពយ៉ាងពេញលេញ។
នាយកប្រតិបត្តិក្រុមហ៊ុន Xiaomi ឥណ្ឌាក៏បាននិយាយនៅក្នុងវីដេអូរបស់គាត់ថា "ទិន្នន័យទាំងអស់ពីអ្នកប្រើប្រាស់ Mi នៅក្នុងប្រទេសឥណ្ឌានៅតែមាននៅលើម៉ាស៊ីនមេរបស់ឥណ្ឌា" ។
ស្វែងរក 3៖
ទិន្នន័យអ្នកប្រើប្រាស់ដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនមេត្រូវបានអ៊ិនកូដដោយប្រើ base64 ដែលងាយស្រួលតាមដាន។ វិធីនេះ ទិន្នន័យអាចត្រូវបានអានយ៉ាងហោចណាស់នៅផ្នែកអតិថិជន។
ការឆ្លើយតបរបស់ Xiaomi៖
ជាការប្រសើរណាស់, Xiaomi ពិតជាមិនបានដោះស្រាយបញ្ហានេះនៅក្នុងប្លុករបស់ខ្លួនទេ។ គាត់បាននិយាយថាទិន្នន័យដែលបានផ្ញើត្រូវបានអ៊ិនគ្រីបដោយប្រើការអ៊ិនគ្រីប TLS 1.2 ។ ដូច្នេះទិន្នន័យដែលបានបញ្ជូនមិនអាចស្ទាក់ចាប់បានទេ។ ប៉ុន្តែក្រុមហ៊ុនមិនបាននិយាយអំពីការអ៊ិនកូដទិន្នន័យ base64 នៅខាងអតិថិជនទេ។
រូបភាពនេះផ្តល់ដោយ Xiaomi បង្ហាញថាទិន្នន័យស្ថិតិប្រើប្រាស់ត្រូវបានបញ្ជូនតាមពិធីការ HTTPS ជាមួយនឹងការអ៊ិនគ្រីប TLS 1.2 ។
ការឆ្លើយតបរបស់អ្នកស្រាវជ្រាវ៖
អូខេ វាជា TLS 1.2។ យ៉ាងហោចណាស់មនុស្សចៃដន្យមួយចំនួនមិនអាចស្ទាក់ចាប់វាបាន។
ខ្ញុំគិតថារឿងនេះមិនធ្លាប់បានពិភាក្សាទេ។ នេះគឺជាការដឹកជញ្ជូនការអ៊ិនគ្រីបទៅកាន់ម៉ាស៊ីនមេ ខ្ញុំមិនយល់ព្រមចំពោះការបញ្ជូនទិន្នន័យទេ។ pic.twitter.com/sENH5OhEzN
— Cybergibbons (@cybergibbons) ដំបែ 1 2020
ការស្វែងរក 4:
ទិន្នន័យអ្នកប្រើដែលប្រមូលបានមិនត្រូវបានគេបញ្ចេញឈ្មោះទេ។ Gabi និងអ្នកស្រាវជ្រាវផ្សេងទៀតបានរកឃើញថាទិន្នន័យអ្នកប្រើប្រាស់ដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនមេ Xiaomi អាចត្រូវបានកំណត់អត្តសញ្ញាណទៅកាន់អ្នកប្រើប្រាស់ជាក់លាក់មួយ ដោយសារតែវាមាន UUID ដែលបានកំណត់ (ឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់ជាសកល)។
ការឆ្លើយតបរបស់ Xiaomi៖
"រូបថតអេក្រង់នេះបង្ហាញពីកូដសម្រាប់របៀបដែលយើងបង្កើតថូខឹនតែមួយគត់ដែលបានបង្កើតដោយចៃដន្យ ដើម្បីបន្ថែមទៅស្ថិតិនៃការប្រើប្រាស់សរុប ហើយសញ្ញាសម្ងាត់ទាំងនេះមិនទាក់ទងទៅនឹងបុគ្គលណាម្នាក់នោះទេ។"
ការឆ្លើយតបរបស់អ្នកស្រាវជ្រាវ៖
វីដេអូសាកល្បងរបស់ Andrew បានបង្ហាញថាទិន្នន័យរបស់គាត់ដែលប្រមូលបានដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិតត្រូវបានផ្តល់ UUID ពិសេសសម្រាប់ទិន្នន័យទាំងអស់ដែលបានផ្ញើក្នុងរយៈពេល 24 ម៉ោង។ គាត់មិនជឿដោយរូបភាពដែល Xiaomi ប្រើដើម្បីបង្ហាញថាទិន្នន័យនោះជាទិន្នន័យអនាមិក។
ខ្ញុំចាប់អារម្មណ៍ជាពិសេសចាប់តាំងពីនេះគឺជាកូដបន្ទាប់ពី obfuscation - cb លបង្ហាញថាវាមិនមែនជាប្រភពឆៅទេ។
ហេតុអ្វីនេះ?
ប៉ុន្តែសំខាន់ជាងនេះទៅទៀត ការហៅ UUID "អនាមិក" មិនធ្វើឱ្យវាអនាមិកទេ។
— Cybergibbons (@cybergibbons) ដំបែ 1 2020
ការទទួលយករបស់យើង៖
ស្ទើរតែគ្រប់កម្មវិធីរុករកទាំងអស់នៅលើពិភពលោកប្រមូលទិន្នន័យអ្នកប្រើប្រាស់។ មួយចំនួនអាចដាក់កម្រិតនេះចំពោះរបាយការណ៍គាំង ខណៈពេលដែលកម្មវិធីរុករកផ្សេងទៀតអាចឈ្លានពានបន្តិច និងប្រមូលទិន្នន័យប្រើប្រាស់។
ខណៈពេលដែលយើងមិនប្រាកដថាតើកម្មវិធីរុករកទិន្នន័យដូចជា Google Chrome និង Firefox ប្រមូលបានប៉ុន្មាន យើងដឹងថាការប្រមូលពាក្យស្វែងរក និង URLs សូម្បីតែនៅក្នុងរបៀបអនាមិកក៏មិនមែនជារឿងធម្មតាដែរ។
របៀបរុករកពិសេស ឬមុខងារអនាមិកមានជាពិសេស ដើម្បីជៀសវាងការតាមដាន។ ហើយវីដេអូសាកល្បងរបស់ Andrew បង្ហាញយ៉ាងច្បាស់ថាតើទិន្នន័យប៉ុន្មានត្រូវបានបញ្ជូនត្រឡប់ទៅម៉ាស៊ីនមេរបស់ Xiaomi រួមទាំងសំណួរស្វែងរក និង URLs នៅក្នុងរបៀបអនាមិក។ Xiaomi អះអាងថាទិន្នន័យនេះមិនបញ្ចេញឈ្មោះ (អាចនៅខាង server) ប៉ុន្តែពួកគេគួរតែចេញមកពន្យល់លម្អិតអំពីដំណើរការនេះ។
សេចក្តីថ្លែងការណ៍ផ្លូវការរបស់ក្រុមហ៊ុន Xiaomi សង្កត់ធ្ងន់ថាពួកគេប្រមូលទិន្នន័យដែលអ្នកប្រើប្រាស់បានយល់ព្រមប៉ុណ្ណោះ។ ដូច្នេះ ក្រុមហ៊ុនក៏ត្រូវបញ្ជាក់ថាតើគោលការណ៍ឯកជនភាព និងការប្រមូលទិន្នន័យរបស់ពួកគេរួមបញ្ចូលការប្រមូលពាក្យស្វែងរក និងទិន្នន័យអ្នកប្រើប្រាស់ផ្សេងទៀត សូម្បីតែនៅក្នុងរបៀបអនាមិកក៏ដោយ។
ដាក់ចំណងជើងរបាយការណ៍នេះ។ ព័ត៌មានក្លែងក្លាយ - មិនមែនជាចម្លើយល្អបំផុតទេ។ Xiaomi ត្រូវតែចេញមុខ និងបដិសេធរាល់ការរកឃើញរបស់អ្នកស្រាវជ្រាវទាំងពីរ។ ប្រសិនបើ Xiaomi មិនអាចធ្វើបែបនេះបានទេ ក្រុមហ៊ុនគួរតែពន្យល់ និងកែសម្រួលគោលការណ៍ប្រមូលទិន្នន័យរបស់ខ្លួនឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន។