Хоёр хоногийн өмнө Форбс Xiaomi Mi хэрэглэгчдийн зочилсон URL хаягийг оруулаад хөтөчийн мэдээллийг хэрхэн цуглуулж байсан тухай томоохон түүхийг нийтэлсэн. Өнөө үед зах зээл дээрх ихэнх хөтөчдийн дунд мэдээлэл цуглуулах нь түгээмэл болсон ч хайлтын нэр томъёо, URL хаягуудыг нууцлалтай гэгддэг хаалттай хөтөчийн горимд хүртэл хянадаг болохыг тайланд онцолжээ.
Өнөөдөр эрт, Xiaomi энэ түүхийн хариуд блог нийтэлж, түүхийнхээ талыг тайлбарлав. Та тэдний албан ёсны хариуг уншиж болно энд.
Энэ түүхэнд юу болж байгааг илүү сайн ойлгохын тулд би бүх төлбөр, тэдгээрийн тус бүрт нь өгсөн хариултыг нэгтгэн харуулав. Судлаач Эндрю Тирни хариулт тус бүр дээр юу гэж хэлснийг би нэмж хэлэв.
1 олох:
Габриэль Кирлиг (тэр үүнийг хамгийн түрүүнд олж тайлбарласан Forbes-ийн түүхүүд) Xiaomi-ийн Mi Browser болон Mint Browser нь Mi хэрэглэгчийн зочилсон бүх вэбсайтуудыг, үүнд Google болон Google-ийн хайлтуудыг багтаасан болохыг тогтоожээ. DuckDuckGo. Хөтөчийг хувийн эсвэл нууц горимд оруулсан ч дагах нь түгээмэл байсан. Утас нь ашиглалтын өгөгдлийг хянаад Xiaomi-ийн сервер рүү буцааж илгээсэн.
Xiaomi-ийн хариулт:
Xiaomi нь "системийн мэдээлэл, тохиргоо, хэрэглэгчийн интерфейсийн онцлог шинж чанар, хариу үйлдэл, гүйцэтгэл, санах ойн ашиглалт, ослын талаар мэдээлэх" зэрэг хэрэглэгчийн мэдээллийг цуглуулах боломжийг олгодог.
Энэ нь хайлтын нэр томъёоны талаар тодорхой дурдаагүй боловч URL-уудыг цуглуулдаг болохыг нэмж оруулав. " Аажмаар ачаалах вэб хуудсыг танихын тулд URL-г цуглуулдаг; Энэ нь хөтчийн ерөнхий гүйцэтгэлийг хэрхэн сайжруулах талаар бидэнд санаа өгдөг. "
Xiaomi нь хэрэглэгч Mi дансанд нэвтэрч синхрончлолын тохиргоог идэвхжүүлсэн үед л хайлтын датаг цуглуулдаг гэж нэмж хэлэв.
Xiaomi нь нууцлалын горимд ч гэсэн хэрэглэгчийн статистик мэдээллийг цуглуулдаг болохыг батлав. URL-ууд нь хэрэглэгчийн статистик мэдээллийн нэг хэсэг юм (энэ нь тэдний албан ёсны мэдэгдэлээр баталгаажсан) гэдгийг харгалзан үзэх нь гайхмаар зүйл юм.
Mi Blog-ийн албан ёсны мэдэгдлээс гадна Xiaomi India компанийн гүйцэтгэх захирал өнөөдөр тусгай видео бичлэгт мэдэгдэв Xiaomi зөвхөн хэрэглэгчдийн зөвшөөрсөн мэдээллийг цуглуулдаг. Түүнчлэн нууцлалын горимд цуглуулсан өгөгдөл нь "шифрлэгдсэн, нэргүй" гэдгийг онцолсон. Та доорх видеог үзэж болно (зарим хэсэг нь хинди хэл дээр байдаг, гэхдээ тэр бас англиар тайлбарласан).
Судлаачийн хариулт:
Эндрю Тирни Xiaomi-ийн хариултанд итгэлгүй байв.
Нэгдүгээрт, өнөөдөр би болон бусад цөөн хэдэн хүмүүс хүлээн авсан өгөгдлөө хэд хэдэн төхөөрөмж дээр дахин баталгаажууллаа. Mint хөтөч хайлтын нэр томъёо, URL-уудыг Incognto горимд оруулдаг нь эргэлзээгүй юм.
- Cybergibbons (@cybergibbons) 1 нь 2020 байж болно
Xiaomi нууцлалын горимд хэрэглэгчийн өгөгдөл цуглуулахаас татгалзсан бол Эндрю хэдхэн минутын өмнө Xiaomi-ийн Mint Browser хувийн горимд хүртэл хэрэглэгчийн чухал мэдээллийг хэрхэн цуглуулдаг болохыг харуулсан шинэ видеог гаргажээ. Цуглуулсан өгөгдөл нь дор хаяж 24 цагийн турш өөрчлөгддөггүй UUID (Universal өвөрмөц танигч) -тай болохыг эндээс харах сонирхолтой байна. Тиймээс, цуглуулсан серверүүд рүү илгээсэн өгөгдлийг хэрэглэгч бүр хянах боломжтой.
2 олох:
Mi хэрэглэгчийн өгөгдлийг Бээжинд бүртгэлтэй вэб домэйнуудтай Сингапур, Орос зэрэг улсуудын алсын серверүүд рүү илгээсэн.
Xiaomi-ийн хариулт:
“Xiaomi нь салбарт өргөн тархсан нийтийн үүлний дэд бүтцийн мэдээллийг байршуулж байна. Манай хилийн чанад дахь үйлчилгээ, хэрэглэгчийн бүх мэдээллийг хувийн мэдээллийг хамгаалах тухай орон нутгийн хууль тогтоомж, дүрэм журмыг чандлан мөрдөж, бүрэн дагаж мөрддөг гадаадад байгаа өөр өөр зах зээл дээрх серверүүд дээр хадгалдаг. "
Xiaomi India компанийн гүйцэтгэх захирал мөн видеондоо "Энэтхэг дэх Mi хэрэглэгчдийн бүх өгөгдөл Энэтхэгийн серверүүд дээр үлддэг" гэжээ.
3 олох:
Серверүүд рүү илгээсэн хэрэглэгчийн өгөгдлийг base64 кодчилсон бөгөөд үүнийг хянахад хялбар байдаг. Энэ аргаар өгөгдлийг ядаж үйлчлүүлэгч талаас нь унших боломжтой болно.
Xiaomi-ийн хариулт:
Xiaomi блог дээрээ энэ асуудлыг үнэхээр хөндөөгүй байна. Тэрбээр илгээсэн өгөгдлийг TLS 1.2 шифрлэлт ашиглан шифрлэдэг болохыг дурдав. Тиймээс дамжуулсан өгөгдлийг таслан зогсоох боломжгүй юм. Гэхдээ компани үйлчлүүлэгч талын өгөгдлийг кодчилох base64-ийн талаар яриагүй.
Xiaomi-ийн өгсөн энэ зураг нь ашиглалтын статистик мэдээллийг TLS 1.2 HTTPS шифрлэлтийн протоколоор дамжуулж байгааг харуулж байна.
Судлаачийн хариулт:
Өө, энэ бол TLS 1.2. Наад зах нь санамсаргүй нэг нь үүнийг барьж чадахгүй.
Энэ талаар хэзээ ч ярьж байгаагүй гэж бодож байна. Энэ бол серверүүдэд дамжуулах шифрлэлт, би мэдээлэл илгээхийг зөвшөөрөөгүй. pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 нь 2020 байж болно
4 олох:
Хэрэглэгчийн цуглуулсан өгөгдөл нь нэрээ нууцлаагүй байна. Габи болон бусад судлаачид Xiaomi-ийн серверүүд рүү илгээсэн хэрэглэгчийн өгөгдлийг UUID (түгээмэл өвөрмөц танигч) оноосон тул тодорхой хэрэглэгчид таних боломжтой болохыг тогтоожээ.
Xiaomi-ийн хариулт:
"Энэхүү скриншот нь ашиглалтын нэгдсэн статистик дээр нэмэхийн тулд санамсаргүйгээр үүсгэсэн өвөрмөц жетонуудыг хэрхэн бүтээх кодыг харуулсан бөгөөд эдгээр жетонууд нь ямар ч хүнтэй таарахгүй байна."
Судлаачийн хариулт:
Эндрюгийн демо видеон дээр браузераас цуглуулсан өгөгдөлд нь 24 цагийн турш илгээсэн бүх өгөгдөлд тусгай UUID хуваарилагдсан болохыг харуулсан болно. Xiaomi-ийн ашигласан мэдээлэл нь нэр нь үл мэдэгдэгч болохыг харуулсан зураг түүнд итгээгүй байв.
Энэ бол хөндлөнгийн дараах код болох cb гэх мэтийг би маш их сонирхдог. Энэ бол түүхий эх сурвалж биш гэдгийг харуулж байна.
Яагаад энэ вэ?
Гэхдээ хамгийн чухал нь UUID-ийг "нэргүй" гэж нэрлэх нь нэргүй болгохгүй.
- Cybergibbons (@cybergibbons) 1 нь 2020 байж болно
Бидний авах:
Дэлхийн бараг бүх хөтөч хэрэглэгчийн мэдээллийг цуглуулдаг. Зарим нь үүнийг ослын талаар мэдээлэх замаар хязгаарлаж болох бол бусад хөтөч нь арай түрэмгий болж, ашиглалтын мэдээллийг цуглуулж магадгүй юм.
Google Chrome, Firefox гэх мэт дата хөтөч хэр их цуглуулдагийг бид мэдэхгүй байгаа ч гэсэн нууцлалын горимд байсан ч гэсэн хайлтын нэр томъёо, URL цуглуулах нь хэвийн зүйл биш гэдгийг бид мэднэ.
Мөшгихөөс зайлсхийхийн тулд тусгай харах горим эсвэл нууц горим байдаг. Эндрюгийн демо видео бичлэг нь Xiaomi-ийн серверүүд рүү хайлт, нууцлалын URL зэрэг хичнээн хэмжээний өгөгдлийг буцааж илгээдэг болохыг тодорхой харуулж байна. Xiaomi энэ өгөгдлийг нэрээ нууцалсан (серверийн талд байж магадгүй) гэж мэдэгдэж байгаа боловч тэд гарч, үйл явцыг нарийвчлан тайлбарлах хэрэгтэй.
Xiaomi-ийн албан ёсны мэдэгдэлд зөвхөн хэрэглэгчийн зөвшөөрсөн өгөгдлийг цуглуулдаг болохыг онцлон тэмдэглэв. Тиймээс компани нь тэдний нууцлал, мэдээлэл цуглуулах бодлогод хайлтын нэр томъёо болон хэрэглэгчийн бусад өгөгдлийг цуглуулах, нууцлалын горимд орсон эсэхийг мөн тодруулах шаардлагатай байна.
Энэ тайланг нэрлэ хуурамч мэдээ - хамгийн сайн хариулт биш. Xiaomi гарч ирээд хоёр судлаачийн олж мэдсэн зүйл бүрийг няцаах ёстой. Хэрэв Xiaomi үүнийг хийх боломжгүй бол компани нь мэдээлэл цуглуулах бодлогоо аль болох богино хугацаанд тайлбарлаж, өөрчлөх хэрэгтэй.
