ڪجهه ڏينهن اڳ ، فوربس هڪ وڏي ڪهاڻي پوسٽ ڪئي ته جيياومي ڪيئن براؤزر ڊيٽا گڏ ڪري رهيو هو ، بشمول ايم آءِ جي استعمال ڪندڙن جا URL شامل آهن ا dataڪلهه مارڪيٽ تي اڪثر براؤزرز ۾ ڊيٽا گڏ ڪرڻ عام آهي ، رپورٽ اُجاگر ڪري ٿي ته ڳولا جا شرط ۽ يو آر ايل هڪ بند برائوزر موڊ ۾ به ٽريڪ ٿيل آهن اڻ itoاتل سڃاتل.
ا today کان پهريان ، ضياءي هن ڪهاڻي جي جواب ۾ هڪ بلاگ پوسٽ ڪئي ، انهي جي ڪهاڻي جي پاسي کي بيان ڪيو. توهان پڙهي سگهو ٿا انهن جو سرڪاري جواب هتي.
انهي کي بهتر سمجهڻ جي لاءِ ته هن ڪهاڻي ۾ ڇا ٿي رهيو آهي ، مون سڀني الزامن ۽ هر هڪ جي جواب کي مختصر ڪيو آهي. مون پڻ شامل ڪيو ته ڇا محقق اينڊريو ٽرنني کي هر هڪ جواب جي باري ۾ ڇا چوڻ هو.
ڳوليو 1:
جبرئيل ڪرليگ (هو اهو پهريون شخص هو جنهن انهي کي ڳولي ورتو ۽ انهي ۾ هن جي وضاحت ڪئي فورب ڪهاڻيون) اهو معلوم ڪيو ته جوياومي جو ايم آئي برائوزر ۽ منٽ برائوزر انهن سڀني ويب سائيٽن کي ٽريڪ ڪيو آهي جيڪي ايم آئي صارف دورو ڪيا ، ٻنهي گوگل ۽ گوگل سرچ سميت بدڪ ڌڪ. جڏهن برائوزر پرائيويٽ يا انڪوگنيٽو موڊ ۾ لڳايو ويو ته ٽريڪنگ عام هئي. فون پڻ استعمال جي ڊيٽا کي ٽريڪ ڪيو ۽ واپس Xiaomi جي سرور ڏانهن موڪليو.
زيوومي جو جواب:
ضياءَجي صارف جي ڊيٽا گڏ ڪرڻ جي اجازت ڏئي ٿو ، جهڙوڪ ”سسٽم جي ،اڻ ، ترجيحات ، يوزر انٽرفيس فيچرز جو استعمال ، جوابداري ، ڪارڪردگي ، ياداشت جو استعمال ۽ حادثي جي رپورٽ.“
اهو خاص طور تي ڳولا جي اصطلاحن جو ذڪر نٿو ڪري ، پر اهو شامل ڪري ٿو ته اهو URLs گڏ ڪري ٿو - " URL ويب پيج کي سڃاڻڻ لاءِ گڏ ڪيو ويندو آهي جيڪو دير سان لوڊ ڪندو آهي؛ اھو اسان کي ھڪڙي خيال ڏي ٿو ته ڪھڙي ريت براؤزر جي مجموعي ڪارڪردگي کي بھتر بڻايو وڃي. "
زيوومي اهو به شامل ڪيو ته اهو صرف برائوزنگ ڊيٽا گڏ ڪري ٿو جڏهن صارف پنهنجو Mi اڪائونٽ ۾ لاگ ان ٿيندو آهي ۽ هم وقت سيٽنگ کي فعال ڪيو ويندو آهي.
زيوومي پڻ تصديق ڪئي آهي ته اهو صارف جي شماريات جي ڊيٽا پڻ انڪوگنيٽو موڊ ۾ گڏ ڪندو آهي. اها تعجب آهي ته غور ڪيو وڃي ٿو ته يو آر ايل پڻ صارف جي شمارياتي ڊيٽا جو حصو آهن (جيڪا انهن جي باضابطه بيان جي تصديق ٿيل آهي).
سرڪاري ايم بلاگ جي اعلان کان علاوه ، Xiaomi India جي سي اي او ا today هڪ خاص وڊيو ۾ چيو ڪريٽو صرف ڊيٽا گڏ ڪري ٿو جنهن کي صارف اتفاق ڪيو آهي. هن اهو پڻ زور ڀريو آهي ته انڪوگنيٽو موڊ ۾ گڏ ڪيل ڊيٽا ”انڪوپريڊ ۽ گمنام“ آهي. توهان هيٺ ڏنل وڊيو ڏسي سگهو ٿا (هندي ۾ ڪجهه حصا ، پر هن پڻ ان کي انگريزي ۾ بيان ڪيو).
محقق جو جواب:
ٺيڪ ، اينڊريو ٽرنئي Xiaomi جي جواب جو قائل نه هيو.
پهرين ، ا today ، مان ۽ ڪجهه ٻين ماڻهن ڪيترن ئي ڊوائيس تي حاصل ڪيل ڊيٽا جي ٻيهر تصديق ڪئي. ان ۾ ڪو شڪ ناهي ته منٿ براؤزر انڪوگني موڊ ۾ ڳولا جا شرط ۽ يو آر ايلز جمع ڪري ٿو.
- سائيبربنس (سائبربربنس) 1 2020
جڏهن ضياءي ڳجهي موڊ ۾ يوزر ڊيٽا گڏ ڪرڻ کان انڪار ڪري ڇڏيو ، اينڊريو ڪجهه منٽ اڳ هڪ نئين ويڊيو جاري ڪئي جنهن ۾ ڏيکاريو ويو ته زيوومي جو مينٽ برائوزر ڪئين اهم صارف ڊيٽا گڏ ڪري رهيو هو ، اهو به پرائيويٽ موڊ ۾. هتي اهو ڏسڻ ڏا toو دلچسپ آهي ته گڏ ڪيل ڊيٽا ۾ يو يو آئي ڊي (گڏيل طور تي منفرد سڃاڻڻ وارو) هوندي آهي ، جيڪا گهٽ ۾ گهٽ 24 ڪلاڪن تائين تبديل نه ٿيندي آهي. ان ڪري ، سرور گڏ ڪيل ڊيٽا ۽ موڪليا ممڪن طور تي انفرادي يوزر کي ڳولي سگهجن ٿا.
ڳولهڻ 2:
ايم يو ڊيٽا کٽيندڙ ملڪن ۾ ريموٽ سرور ڏانهن موڪليو ويو جيئن سنگاپور ۽ روس ، بيجنگ ۾ رجسٽرڊ ويب ڊومينز سان.
زيوومي جو جواب:
”ضياءيا عوامي بادل جي بنيادي infrastructureاڻ جي ميزباني ڪري رهي آهي جيڪا صنعت ۾ وسيع آهي. اسان جي اوورسيز سروسز ۽ صارفين کان سڀ معلومات مختلف ٻاهرين مارڪيٽن ۾ سرور تي اسٽور ٿيل آهن ، جتي ذاتي ڊيٽا جي حفاظت بابت مقامي قانون ۽ ضابطن تي سختي سان عمل ڪيو وڃي ٿو ۽ جنهن تي اسان مڪمل طور تي عمل ڪريون ٿا.
زيوومي انڊيا جي سي اي او پڻ پنهنجي وڊيو ۾ چيو آهي ته ”هندستان ۾ ايم آءِ استعمال ڪندڙن جو سمورو ڊيٽا انڊين سرورز تي رهي ٿو.
ڳوليو 3:
سرور ڏانهن موڪليل صارف جو ڊيٽا بيس 64 انڪوڊ ڪيو ويو آهي ، جيڪو ٽريڪ ڪرڻ آسان آهي. انهي طريقي سان ، ڊيٽا پڙهي سگهجي ٿو ، گهٽ ۾ گهٽ گراهڪ جي پاسي.
زيوومي جو جواب:
چ ،و ، ضياءَ پنهنجي بلاگ تي واقعي هن مسئلي کي منهن نه ڏنو آهي. هن ٻڌايو ته موڪليل ڊيٽا ٽي ايل ايس 1.2 انڪرپشن سان انڪوپ ٿيل آهي. ان ڪري منتقل ٿيندڙ ڊيٽا کي قطعي طور تي روڪيو نٿو وڃي. پر ڪمپني بنيادي ڪلائنٽ جي ڊيٽا کي اينڊنگ ڪرڻ بابت ڪا ڳالهه نه ڪئي.
اها تصوير ، زيوومي طرفان مهيا ڪيل آهي ، ڏيکاري ٿو ته استعمال جي شماريات جي ڊيٽا ٽي ايل ايس 1.2 ايڇ ٽي پي ايس انڪرپشن پروٽوڪول تي منتقل ٿيل آهي.
محقق جو جواب:
چ wellو ، اهو TLS 1.2 آهي. گهٽ ۾ گهٽ ڪجهه بي ترتيب ته اهو روڪي نه سگهندو آهي.
آئون نه ٿو سمجهان ته هن ڪڏهن بحث ڪيو آهي. هي سرور جي نقل و حمل ڳجهو آهي ، مون ڊيٽا موڪلڻ تي راضي نه ڪيو. pic.twitter.com/sENH5OhEzN
- سائيبربنس (سائبربربنس) 1 2020
ڳولهڻ 4:
گڏ ڪيل صارف جو ڊيٽا گمنام نه هو. گابي ۽ ٻيا محقق اهو ڳولي چڪا آهن ته صارف ڊيٽا جوياومي سرور ڏانهن موڪليو ويو ممڪن طور تي هڪ مخصوص صارف جي نشاندهي ٿي سگهن ٿا ڇاڪاڻ ته انهن کي مقرر ٿيل يو يو آئي ڊي (عام طور تي منفرد شناخت ڪندڙ) آهي.
زيوومي جو جواب:
"هي اسڪرين شاٽ ان ڪوڊ کي ڏيکاري ٿو ته اسان مجموعي استعمال جي شماريات ۾ اضافو ڪرڻ جي لاءِ بي ترتيب واري منفرد ٽوڪن کي ڪيئن ٺاهينداسين. ۽ اهي ٽوڪن ڪنهن به ماڻهو سان نه ملنديون."
محقق جو جواب:
خير ، اينڊريو جي ڊيمو وڊيو مان ظاهر ٿيو ته هن جي برائوزر مان گڏ ڪيل ڊيٽا 24 ڪلاڪن دوران موڪليل سڀني ڊيٽا جي لاءِ خاص يو يو آئي ڊي مقرر ڪئي وئي هئي. هو زيوومي پاران استعمال ڪيل تصوير کي قائل ڪندڙ نه هو ته ڏيکاريو وڃي ته ڊيٽا گمنام آهي.
مان خاص طور تي دلچسپي وارو آهيان انهي کان پوءِ هي ماضيءَ جو ڪوڊ - سي بي ، وغيره ڏيکاري ٿو ته هي خام ذريعو نه آهي.
هي ڇو آهي؟
پر وڌيڪ اهم طور تي ، يو يو آئي ڊي کي “گمنام” سڏڻ سان اهو گمنام نه ٿي پوي.
- سائيبربنس (سائبربربنس) 1 2020
اسان جو وٺو:
دنيا ۾ تقريبن هر برائوزر صارف جو ڊيٽا گڏ ڪري ٿو. ڪجهه شايد هن کي ڪرسي جي رپورٽ تائين محدود ڪري سگھن ٿا ، جڏهن ته ٻيا برائوزر شايد ٿورو وڌيڪ ناگوار ۽ استعمال ٿيندڙ ڊيٽا گڏ ڪن.
جڏهن اسان پڪ ناهي ته گوگل ڪروم ۽ فائرفاڪس جهڙا ڊيٽا برائوزر ڪيترو ئي گڏ ڪن ٿا ، اسان knowاڻون ٿا ته ڳولا جي شرطن ۽ يو آر ايلز کي گڏ ڪرڻ ، جيتوڻيڪ پوشاڪ موڊ ۾ ، عام نه آهي.
خاص رستو موڊ يا انڪوگنيٽ موڊ موجود آهي خاص طور تي ٽريڪ ٿيڻ کان بچڻ لاءِ. ۽ اينڊريو جي ڊيمو وڊيو واضح طور تي ڏيکاري ٿي ته ڪيتري ڊيٽا واپس Xiaomi جي سرور ڏانهن موڪلي وئي آهي ، بشمول تلاشيون ۽ انڪوگيون يو آر ايل. زيوومي دعويٰ ڪري ٿي ته هي ڊيٽا گمنام آهي (ممڪن طور تي سرور جي پاسي) ، پر انهن کي ٻاهر وڃڻ گهرجي ۽ تفصيلي عمل کي وضاحت ۾ پيش ڪرڻ گهرجي.
زيوومي جي سرڪاري بيانن تي زور ڏنو ويو آهي ته اهي صرف اهي ڊيٽا گڏ ڪن ٿيون جنهن جي صارف رضامند ٿيو آهي. تنهن ڪري ، ڪمپني کي پڻ وضاحت ڪرڻ جي ضرورت آهي ته ڇا انهن جي رازداري ۽ ڊيٽا گڏ ڪرڻ واري پاليسين ڳولا جي شرطن ۽ ٻين صارف جي ڊيٽا جو مجموعو پڻ ، پوشاڪ موڊ ۾.
ھن رپورٽ جو نالو ڏيو ڪوڙي خبر - بهترين جواب نه آهي. زيوومي کي اڳتي وڌڻ ۽ ٻنهي محققن جي هر نتيجي کي رد ڪرڻ آهي. جيڪڏهن ضياء اهو ڪرڻ کان قاصر آهن ، ڪمپني کي هتان جي ڊيٽا گڏ ڪرڻ واري پاليسي کي جلد کان جلد وضاحت ۽ نظرثاني ڪرڻ گهرجي.
