Пару дней назад Forbes опубликовал крупную историю о том, как Xiaomi собирала данные браузера, включая URL-адреса, посещаемые пользователями Mi. Хотя сбор данных является распространенным явлением среди большинства браузеров, представленных сегодня на рынке, в отчете подчеркивается, что поисковые термины и URL-адреса отслеживались даже в закрытом режиме браузера, известном как инкогнито.
Ранее сегодня, Xiaomi опубликовал блог в ответ на эту историю, объясняя свою сторону истории. Вы можете прочитать их официальный ответ от здесь.
Чтобы лучше понять, что происходит в этой истории, я суммировал все обвинения и ответы на каждое из них. Я также добавил, что исследователь Эндрю Тирни должен был сказать о каждом из ответов.
Находка 1:
Габриэль Кирлиг (он был первым, кто нашел это и объяснил это в истории Forbes) обнаружил, что Mi Browser и Mint Browser от Xiaomi отслеживают все веб-сайты, которые посещал пользователь Mi, включая поисковые запросы как в Google, так и в Google. DuckDuckGo. Отслеживание было распространено даже в том случае, когда браузер был переведен в приватный режим или режим инкогнито. Телефон также отслеживал данные об использовании и отправлял их обратно на серверы Xiaomi.
Ответ Xiaomi:
Xiaomi допускает сбор пользовательских данных, таких как «системная информация, предпочтения, использование функций пользовательского интерфейса, отзывчивость, производительность, использование памяти и отчеты о сбоях».
В нем явно не упоминаются поисковые термины, но добавляется, что он собирает URL-адреса — « URL-адрес собирается для идентификации веб-страниц, которые загружаются медленно; это дает нам представление о том, как наилучшим образом улучшить общую производительность браузера ».
Xiaomi также добавила, что она собирает данные о просмотре только тогда, когда пользователь вошел в свою учетную запись Mi и включена настройка синхронизации.
Xiaomi также подтвердила, что собирает данные статистики пользователя даже в режиме инкогнито. Это удивительно, учитывая, что URL-адреса также являются частью данных статистики пользователя (что подтверждается их официальным заявлением).
В дополнение к официальному заявлению Mi Blog генеральный директор Xiaomi India заявил сегодня в специальном видео, что Xiaomi собирает только те данные, на которые согласились пользователи. Он также подчеркнул, что данные, собранные в режиме инкогнито, «зашифрованы и анонимны». Вы можете посмотреть видео ниже (некоторые части на хинди, но он также объяснил это на английском).
Ответ исследователя:
Ну, Эндрю Тирни не был убежден ответом Xiaomi.
Во-первых, сегодня я и еще несколько человек повторно подтвердили полученные данные на нескольких устройствах. Нет сомнений в том, что браузер Mint отправляет поисковые термины и URL-адреса в режиме Incognto.
— Cybergibbons (@cybergibbons) 1 мая 2020 г.
Хотя Xiaomi отрицал, что собирал пользовательские данные в режиме инкогнито, Эндрю выпустил новое видео всего несколько минут назад, демонстрирующее, как Mint Browser Xiaomi собирал важные пользовательские данные, даже в частном режиме. Здесь интересно увидеть, что собранные данные имеют UUID (универсальный уникальный идентификатор), который не меняется, по крайней мере, в течение 24 часов. Таким образом, данные, собранные и отправленные на серверы, потенциально могут быть отслежены отдельным пользователем.
Нахождение 2:
Данные пользователя Mi отправлялись на удаленные серверы в таких странах, как Сингапур и Россия, с веб-доменами, зарегистрированными в Пекине.
Ответ Xiaomi:
«Xiaomi размещает информацию об общедоступной облачной инфраструктуре, которая широко распространена в отрасли. Вся информация от наших зарубежных служб и пользователей хранится на серверах на разных зарубежных рынках, где строго соблюдаются местные законы и положения о защите личных данных и которые мы полностью соблюдаем ».
Генеральный директор Xiaomi India также сказал в своем видео, что «Все данные от пользователей Mi в Индии остаются на индийских серверах».
Находка 3:
Пользовательские данные, отправленные на серверы, были закодированы с использованием base64, что легко отслеживается. Таким образом, данные могут быть прочитаны, по крайней мере, на стороне клиента.
Ответ Xiaomi:
Что ж, Xiaomi не особо затронула этот вопрос в своем блоге. Он упомянул, что отправленные данные зашифрованы с использованием шифрования TLS 1.2. Таким образом, передаваемые данные не могут быть перехвачены. Но компания не говорила о base64-кодировании данных на стороне клиента.
Это изображение, предоставленное Xiaomi, показывает, что данные статистики использования передаются по протоколу HTTPS шифрования TLS 1.2.
Ответ исследователя:
О, хорошо, это TLS 1.2. По крайней мере, какой-то случайный не может его перехватить.
Я не думаю, что это когда-либо обсуждалось. Это транспортное шифрование на серверы, отправка данных я не дал согласия на отправку. pic.twitter.com/sENH5OhEzN
— Cybergibbons (@cybergibbons) 1 мая 2020 г.
Нахождение 4:
Собранные данные пользователя не были анонимными. Габи и другие исследователи обнаружили, что пользовательские данные, отправляемые на серверы Xiaomi, потенциально могут быть идентифицированы для конкретного пользователя, потому что он имеет назначенный UUID (универсальный уникальный идентификатор).
Ответ Xiaomi:
«На этом снимке экрана показан код того, как мы создаем случайно сгенерированные уникальные токены для добавления в совокупную статистику использования, и эти токены не соответствуют каким-либо лицам».
Ответ исследователя:
Ну, демо-видео Эндрю показало, что его данным, собранным браузером, был присвоен специальный UUID для всех данных, отправляемых в течение более 24 часов. Его не убедило изображение, использованное Xiaomi, чтобы показать, что данные были анонимными.
Я особенно заинтересован, так как это код после обфускации — c.b и т. Д. Показывает, что это не необработанный источник.
Почему это?
Но, что еще важнее, называние UUID «анонимным» не делает его анонимным.
— Cybergibbons (@cybergibbons) 1 мая 2020 г.
Наш дубль:
Почти каждый браузер в мире собирает пользовательские данные. Некоторые могут ограничить это отчетами о сбоях, тогда как другие браузеры могут быть немного более инвазивными и собирать данные об использовании.
Хотя мы не уверены, сколько данных собирают такие браузеры, как Google Chrome и Firefox, мы знаем, что сбор поисковых терминов и URL-адресов, даже в режиме инкогнито, не является нормальным.
Специальный режим просмотра или режим инкогнито специально существует, чтобы избежать отслеживания. И демонстрационное видео Эндрю ясно показывает, сколько данных отправляется обратно на серверы Xiaomi, включая поисковые запросы и URL-адреса в режиме инкогнито. Xiaomi утверждает, что эти данные анонимизированы (возможно, на стороне сервера), но они должны выйти и объяснить этот процесс подробно.
В официальных заявлениях Xiaomi подчеркивается, что они собирают только те данные, на которые согласился пользователь. Поэтому компании также необходимо уточнить, включает ли их политика конфиденциальности и сбора данных сбор поисковых терминов и других пользовательских данных даже в режиме инкогнито.
Называть этот отчет поддельными новостями — не самый лучший ответ. Xiaomi должен выступить и опровергнуть каждый из выводов двух исследователей. Если Xiaomi не может этого сделать, компания должна как можно скорее объяснить и пересмотреть свою политику сбора данных.
