For et par dager siden la Forbes ut en stor historie om hvordan Xiaomi samlet inn nettleserdata, inkludert nettadresser besøkt av Mi-brukere. Mens datainnsamling er vanlig blant de fleste nettlesere på markedet i dag, fremhever rapporten at søkeord og URL-er ble sporet selv i en lukket nettlesermodus kjent som inkognito.
Tidligere i dag la Xiaomi ut en blogg som svar på denne historien, og forklarte sin side av historien. Du kan lese deres offisielle svar fra her.
For å bedre forstå hva som skjer i denne historien, har jeg oppsummert alle anklagene og svarene på hver av dem. Jeg la også til hva forsker Andrew Tierney hadde å si om hvert av svarene.
Finn 1:
Gabriel Kirlig (han var den første som fant dette og forklarte det i Forbes historier) fant at Xiaomis Mi Browser og Mint Browser spores alle nettsteder som Mi-brukeren besøkte, inkludert både Google og Google-søk. DuckDuckGo. Sporing var vanlig selv når nettleseren ble satt i privat eller inkognitomodus. Telefonen spores også bruksdata og sendte den tilbake til Xiaomis servere.
Xiaomis svar:
Xiaomi tillater innsamling av brukerdata som "systeminformasjon, preferanser, bruk av brukergrensesnittfunksjoner, respons, ytelse, minnebruk og krasjrapportering."
Den nevner ikke eksplisitt søkeord, men legger til at den samler nettadresser - " URL-en samles inn for å identifisere websider som lastes sakte inn; det gir oss en ide om hvordan vi best kan forbedre nettleserens ytelse. "
Xiaomi la også til at den bare samler inn nettleserdata når brukeren er logget inn på Mi-kontoen sin og synkroniseringsinnstillingen er aktivert.
Xiaomi har også bekreftet at de samler inn brukerstatistikkdata selv i inkognitomodus. Dette er overraskende med tanke på at nettadresser også er en del av brukerens statistikkdata (som bekreftes av deres offisielle uttalelse).
I tillegg til den offisielle Mi Blog-kunngjøringen uttalte konsernsjefen i Xiaomi India i dag i en spesiell video at Xiaomi samler bare inn dataene som brukerne har godtatt. Han understreket også at dataene som er samlet inn i inkognitomodus er "kryptert og anonymt." Du kan se videoen nedenfor (noen deler på hindi, men han forklarte det også på engelsk).
Forskerens svar:
Andrew Tierney var ikke overbevist om Xiaomis svar.
Først i dag bekreftet jeg og noen få andre de mottatte dataene på flere enheter. Det er ingen tvil om at Mint-nettleseren sender inn søkeord og URL-er i Incognto-modus.
- Cybergibbons (@cybergibbons) 1 May 2020 byen
Mens Xiaomi nektet å samle inn brukerdata i inkognitomodus, ga Andrew ut en ny video for bare noen få minutter siden og demonstrerte hvordan Xiaomos Mint Browser samlet viktige brukerdata, selv i privat modus. Det er interessant å se her at de innsamlede dataene har en UUID (Universally Unique Identifier) som ikke endres i minst 24 timer. Dermed kan dataene som samles inn og sendes til serverne potensielt spores av en individuell bruker.
Finne 2:
Mis brukerdata ble sendt til eksterne servere i land som Singapore og Russland, med nettdomener registrert i Beijing.
Xiaomis svar:
“Xiaomi er vert for offentlig skyinfrastrukturinformasjon som er utbredt i bransjen. All informasjon fra våre utenlandske tjenester og brukere lagres på servere i forskjellige utenlandske markeder, der lokale lover og regler om beskyttelse av personopplysninger følges strengt og som vi overholder fullt ut. "
Administrerende direktør for Xiaomi India sa også i sin video at "All data fra Mi-brukere i India forblir på indiske servere."
Finn 3:
Brukerdata som sendes til serverne er kodet for base64, som er enkle å spore. På denne måten kan dataene leses, i det minste på klientsiden.
Xiaomis svar:
Vel, Xiaomi har egentlig ikke berørt dette problemet på bloggen sin. Han nevnte at dataene som sendes er kryptert ved hjelp av TLS 1.2-kryptering. Dermed kan ikke de overførte dataene fanges opp. Men selskapet snakket ikke om base64 som kodet dataene på klientsiden.
Dette bildet, levert av Xiaomi, viser at bruksstatistikkdataene overføres over TLS 1.2 HTTPS-krypteringsprotokollen.
Forskerens svar:
Nåvel, det er TLS 1.2. I det minste kan ikke noen tilfeldige fange den.
Jeg tror ikke dette noen gang har blitt diskutert. Dette er transportkryptering til serverne, jeg gikk ikke med på å sende data. pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 May 2020 byen
Finne 4:
De innsamlede brukerdataene var ikke anonyme. Gabi og andre forskere har funnet at brukerdata som sendes til Xiaomi-servere potensielt kan identifiseres til en bestemt bruker fordi de har en tildelt UUID (universelt unik identifikator).
Xiaomis svar:
"Dette skjermbildet viser koden for hvordan vi genererer tilfeldig genererte unike tokens for å legge til samlet bruksstatistikk, og disse tokens samsvarer ikke med noen person."
Forskerens svar:
Andrews demo-video viste at dataene hans som ble samlet inn av nettleseren, ble tildelt en spesiell UUID for alle dataene som ble sendt over 24 timer. Han ble ikke overbevist av bildet som Xiaomi brukte for å vise at dataene var anonyme.
Jeg er spesielt interessert siden dette er den post-forvirrede koden - cb, osv. Viser at dette ikke er en rå kilde.
Hvorfor er dette?
Men enda viktigere, å kalle en UUID "anonym" gjør det ikke anonymt.
- Cybergibbons (@cybergibbons) 1 May 2020 byen
Vårt syn:
Nesten alle nettlesere i verden samler inn brukerdata. Noen kan begrense dette til krasjrapportering, mens andre nettlesere kan være litt mer invasive og samle inn bruksdata.
Selv om vi ikke er sikre på hvor mye datanettlesere som Google Chrome og Firefox samler inn, vet vi at det ikke er vanlig å samle søkeord og nettadresser, selv i inkognitomodus.
En spesiell visningsmodus eller inkognitomodus eksisterer spesielt for å unngå å bli sporet. Og Andrews demo-video viser tydelig hvor mye data som sendes tilbake til Xiaomis servere, inkludert søk og inkognito-URLer. Xiaomi hevder at disse dataene er anonymisert (muligens på serversiden), men de bør gå ut og forklare prosessen i detalj.
Xiaomis offisielle uttalelser understreker at de bare samler inn data som brukeren har godtatt. Derfor må selskapet også avklare om deres personvern- og datainnsamlingspolitikk inkluderer innsamling av søkeord og andre brukerdata, selv i inkognitomodus.
Navngi denne rapporten falske nyheter - ikke det beste svaret. Xiaomi må komme fram og tilbakevise hvert av de to forskernes funn. Hvis Xiaomi ikke klarer å gjøre dette, bør selskapet forklare og revidere retningslinjene for datainnsamling så snart som mulig.
