சில நாட்களுக்கு முன்பு, ஃபோர்ப்ஸ், Mi பயனர்கள் பார்வையிட்ட URL கள் உட்பட, உலாவி தரவை Xiaomi எவ்வாறு சேகரிக்கிறது என்பது குறித்த ஒரு முக்கிய கதையை வெளியிட்டது. இன்று சந்தையில் உள்ள பெரும்பாலான உலாவிகளில் தரவு சேகரிப்பு பொதுவானது என்றாலும், மறைநிலை எனப்படும் மூடிய உலாவி பயன்முறையில் கூட தேடல் சொற்கள் மற்றும் URL கள் கண்காணிக்கப்பட்டன என்று அறிக்கை எடுத்துக்காட்டுகிறது.
முன்னதாக இன்று, சியோமி இந்த கதைக்கு பதிலளிக்கும் விதமாக ஒரு வலைப்பதிவை வெளியிட்டு, கதையின் பக்கத்தை விளக்கினார். அவர்களின் அதிகாரப்பூர்வ பதிலை நீங்கள் படிக்கலாம் இங்கே.
இந்த கதையில் என்ன நடக்கிறது என்பதை நன்கு புரிந்துகொள்ள, எல்லா குற்றச்சாட்டுகளையும் அவை ஒவ்வொன்றிற்கான பதில்களையும் சுருக்கமாகக் கூறியுள்ளேன். ஒவ்வொரு பதில்களையும் பற்றி ஆராய்ச்சியாளர் ஆண்ட்ரூ டைர்னி என்ன சொல்ல வேண்டும் என்பதையும் சேர்த்தேன்.
1 ஐக் காண்க:
கேப்ரியல் கிர்லிக் (இதைக் கண்டுபிடித்தவர் முதலில் அதை விளக்கினார் ஃபோர்ப்ஸ் கதைகள்) ஷியோமியின் மி உலாவி மற்றும் புதினா உலாவி கூகிள் மற்றும் கூகிள் தேடல்கள் உட்பட மி பயனர் பார்வையிட்ட அனைத்து வலைத்தளங்களையும் கண்காணித்திருப்பதைக் கண்டறிந்தது. டக் டக் கோ. உலாவி தனிப்பட்ட அல்லது மறைநிலை பயன்முறையில் வைக்கப்பட்டிருந்தாலும் கண்காணிப்பு பொதுவானது. தொலைபேசியும் பயன்பாட்டுத் தரவைக் கண்காணித்து ஷியோமியின் சேவையகங்களுக்கு திருப்பி அனுப்பியது.
சியோமியின் பதில்:
"கணினி தகவல், விருப்பத்தேர்வுகள், பயனர் இடைமுக அம்சங்களின் பயன்பாடு, மறுமொழி, செயல்திறன், நினைவக பயன்பாடு மற்றும் செயலிழப்பு அறிக்கையிடல்" போன்ற பயனர் தரவை சேகரிக்க Xiaomi அனுமதிக்கிறது.
இது தேடல் சொற்களை வெளிப்படையாகக் குறிப்பிடவில்லை, ஆனால் அது URL களைச் சேகரிக்கிறது என்று சேர்க்கிறது - " மெதுவாக ஏற்றும் வலைப்பக்கங்களை அடையாளம் காண URL சேகரிக்கப்படுகிறது; ஒட்டுமொத்த உலாவி செயல்திறனை எவ்வாறு மேம்படுத்துவது என்பது பற்றிய ஒரு கருத்தை இது எங்களுக்கு வழங்குகிறது. "
பயனர் தங்கள் Mi கணக்கில் உள்நுழைந்து ஒத்திசைவு அமைப்பு இயக்கப்பட்டால் மட்டுமே அது உலாவல் தரவை சேகரிக்கும் என்றும் Xiaomi மேலும் கூறினார்.
மறைநிலை பயன்முறையில் கூட பயனர் புள்ளிவிவரத் தரவை சேகரிப்பதாக ஷியோமி உறுதிப்படுத்தியுள்ளது. URL களும் பயனரின் புள்ளிவிவரத் தரவின் ஒரு பகுதியாக இருப்பதைக் கருத்தில் கொண்டு இது ஆச்சரியமாக இருக்கிறது (இது அவர்களின் அதிகாரப்பூர்வ அறிக்கையால் உறுதிப்படுத்தப்பட்டுள்ளது).
அதிகாரப்பூர்வ மி வலைப்பதிவு அறிவிப்புக்கு மேலதிகமாக, சியோமி இந்தியாவின் தலைமை நிர்வாக அதிகாரி இன்று ஒரு சிறப்பு வீடியோவில் கூறினார் க்சியாவோமி பயனர்கள் ஒப்புக்கொண்ட தரவை மட்டுமே சேகரிக்கிறது. மறைநிலை பயன்முறையில் சேகரிக்கப்பட்ட தரவு "மறைகுறியாக்கப்பட்ட மற்றும் அநாமதேயமானது" என்றும் அவர் வலியுறுத்தினார். நீங்கள் கீழே உள்ள வீடியோவைப் பார்க்கலாம் (இந்தியில் சில பகுதிகள், ஆனால் அவர் அதை ஆங்கிலத்திலும் விளக்கினார்).
ஆராய்ச்சியாளரின் பதில்:
ஷியோமியின் பதிலால் ஆண்ட்ரூ டியர்னி நம்பவில்லை.
முதலில், இன்று, நானும் இன்னும் சில நபர்களும் பல சாதனங்களில் பெறப்பட்ட தரவை மீண்டும் உறுதிப்படுத்தினோம். புதினா உலாவி தேடல் சொற்களையும் URL களையும் இன்கொன்டோ பயன்முறையில் சமர்ப்பிக்கிறது என்பதில் சந்தேகமில்லை.
- சைபெர்கிபன்ஸ் (bercybergibbons) 1 மே 2020
மறைமுகமான பயன்முறையில் பயனர் தரவைச் சேகரிப்பதை ஷியோமி மறுத்தாலும், சில நிமிடங்களுக்கு முன்பு ஆண்ட்ரூ ஒரு புதிய வீடியோவை வெளியிட்டார், ஷியோமியின் புதினா உலாவி முக்கியமான பயனர் தரவை தனியார் பயன்முறையில் கூட எவ்வாறு சேகரித்தது என்பதை நிரூபிக்கிறது. சேகரிக்கப்பட்ட தரவுகளில் யு.யு.ஐ.டி (யுனிவர்சலி யுனிக் ஐடென்டிஃபையர்) உள்ளது, இது குறைந்தது 24 மணிநேரங்களுக்கு மாறாது என்பதை இங்கே பார்ப்பது சுவாரஸ்யமானது. எனவே, சேகரிக்கப்பட்ட மற்றும் சேவையகங்களுக்கு அனுப்பப்படும் தரவை ஒரு தனிப்பட்ட பயனரால் கண்காணிக்க முடியும்.
2 ஐக் கண்டறிதல்:
பெய்ஜிங்கில் பதிவுசெய்யப்பட்ட வலை களங்களுடன் சிங்கப்பூர் மற்றும் ரஷ்யா போன்ற நாடுகளில் உள்ள தொலைநிலை சேவையகங்களுக்கு Mi பயனர் தரவு அனுப்பப்பட்டது.
சியோமியின் பதில்:
"சியோமி பொது கிளவுட் உள்கட்டமைப்பு பற்றிய தகவல்களை வெளியிடுகிறது, இது தொழில்துறையில் பரவலாக உள்ளது. எங்கள் வெளிநாட்டு சேவைகள் மற்றும் பயனர்களிடமிருந்து வரும் அனைத்து தகவல்களும் வெவ்வேறு வெளிநாட்டு சந்தைகளில் உள்ள சேவையகங்களில் சேமிக்கப்படுகின்றன, அங்கு உள்ளூர் தரவுகள் மற்றும் தனிப்பட்ட தரவைப் பாதுகாப்பது தொடர்பான விதிமுறைகள் கண்டிப்பாகக் கடைப்பிடிக்கப்படுகின்றன, அவை நாங்கள் முழுமையாக இணங்குகின்றன. "
சியோமி இந்தியாவின் தலைமை நிர்வாக அதிகாரி தனது வீடியோவில் "இந்தியாவில் மி பயனர்களிடமிருந்து அனைத்து தரவும் இந்திய சேவையகங்களில் உள்ளது" என்று கூறினார்.
3 ஐக் காண்க:
சேவையகங்களுக்கு அனுப்பப்பட்ட பயனர் தரவு அடிப்படை 64 குறியாக்கம் செய்யப்பட்டுள்ளது, இது கண்காணிக்க எளிதானது. இந்த வழியில் தரவை குறைந்தபட்சம் கிளையன்ட் பக்கத்தில் படிக்க முடியும்.
சியோமியின் பதில்:
சரி, சியோமி தனது வலைப்பதிவில் இந்த விஷயத்தை உண்மையில் தொடவில்லை. அனுப்பப்பட்ட தரவு டி.எல்.எஸ் 1.2 குறியாக்கத்தைப் பயன்படுத்தி குறியாக்கம் செய்யப்படுவதாக அவர் குறிப்பிட்டுள்ளார். இதனால், கடத்தப்பட்ட தரவை இடைமறிக்க முடியாது. ஆனால் நிறுவனம் கிளையன் பக்கத்தில் தரவை குறியீடாக்குவது பற்றி பேசவில்லை.
சியோமி வழங்கிய இந்த படம், பயன்பாட்டு புள்ளிவிவரத் தரவு TLS 1.2 HTTPS குறியாக்க நெறிமுறையின் ஊடாக அனுப்பப்படுவதைக் காட்டுகிறது.
ஆராய்ச்சியாளரின் பதில்:
ஓ, அது TLS 1.2. குறைந்தது சில சீரற்ற ஒருவரால் அதைத் தடுக்க முடியாது.
இது இதுவரை விவாதிக்கப்பட்டதாக நான் நினைக்கவில்லை. இது சேவையகங்களுக்கான போக்குவரத்து குறியாக்கமாகும், தரவை அனுப்ப நான் சம்மதிக்கவில்லை. pic.twitter.com/sENH5OhEzN
- சைபெர்கிபன்ஸ் (bercybergibbons) 1 மே 2020
4 ஐக் கண்டறிதல்:
சேகரிக்கப்பட்ட பயனர் தரவு அநாமதேயமாக இல்லை. ஷியோமியின் சேவையகங்களுக்கு அனுப்பப்படும் பயனர் தரவை ஒரு குறிப்பிட்ட பயனருக்கு அடையாளம் காண முடியும் என்று காபி மற்றும் பிற ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர், ஏனெனில் அவை ஒதுக்கப்பட்ட UUID (உலகளவில் தனித்துவமான அடையாளங்காட்டி) உள்ளன.
சியோமியின் பதில்:
"இந்த ஸ்கிரீன் ஷாட் மொத்த பயன்பாட்டு புள்ளிவிவரங்களுடன் சேர்க்க தோராயமாக உருவாக்கப்பட்ட தனித்துவமான டோக்கன்களை எவ்வாறு உருவாக்குகிறோம் என்பதற்கான குறியீட்டைக் காட்டுகிறது, மேலும் இந்த டோக்கன்கள் எந்தவொரு நபருடனும் பொருந்தாது."
ஆராய்ச்சியாளரின் பதில்:
சரி, ஆண்ட்ரூவின் டெமோ வீடியோ, உலாவி சேகரித்த அவரது தரவு 24 மணி நேரத்திற்கும் மேலாக அனுப்பப்பட்ட அனைத்து தரவிற்கும் ஒரு சிறப்பு UUID ஒதுக்கப்பட்டுள்ளது என்பதைக் காட்டுகிறது. தரவு அநாமதேயமானது என்பதைக் காட்ட ஷியோமி பயன்படுத்திய படத்தால் அவர் நம்பப்படவில்லை.
இது குறிப்பாக தெளிவற்ற பிந்தைய குறியீடு - சிபி, முதலியன என்பதால் நான் மிகவும் ஆர்வமாக உள்ளேன். இது ஒரு மூல மூலமல்ல என்பதைக் காட்டுகிறது.
இது ஏன்?
ஆனால் மிக முக்கியமாக, ஒரு UUID ஐ "அநாமதேய" என்று அழைப்பது அதை அநாமதேயமாக்காது.
- சைபெர்கிபன்ஸ் (bercybergibbons) 1 மே 2020
நாங்கள் எடுத்துக்கொள்வது:
உலகின் கிட்டத்தட்ட ஒவ்வொரு உலாவியும் பயனர் தரவை சேகரிக்கிறது. சிலர் இதை செயலிழப்பு அறிக்கையிடலுடன் மட்டுப்படுத்தலாம், மற்ற உலாவிகள் இன்னும் கொஞ்சம் ஆக்கிரமிப்பு மற்றும் பயன்பாட்டுத் தரவை சேகரிக்கலாம்.
கூகிள் குரோம் மற்றும் பயர்பாக்ஸ் போன்ற தரவு உலாவிகள் எவ்வளவு சேகரிக்கின்றன என்பது எங்களுக்குத் தெரியவில்லை என்றாலும், தேடல் சொற்களையும் URL களையும் சேகரிப்பது, மறைநிலை பயன்முறையில் கூட சாதாரணமானது அல்ல என்பதை நாங்கள் அறிவோம்.
கண்காணிக்கப்படுவதைத் தவிர்க்க ஒரு சிறப்பு பார்வை முறை அல்லது மறைநிலை முறை குறிப்பாக உள்ளது. தேடல்கள் மற்றும் மறைநிலை URL கள் உட்பட, சியோமியின் சேவையகங்களுக்கு எவ்வளவு தரவு திருப்பி அனுப்பப்படுகிறது என்பதை ஆண்ட்ரூவின் டெமோ வீடியோ தெளிவாகக் காட்டுகிறது. இந்த தரவு அநாமதேயப்படுத்தப்பட்டதாக ஷியோமி கூறுகிறது (ஒருவேளை சேவையக பக்கத்தில்), ஆனால் அவை வெளியே சென்று செயல்முறையை விரிவாக விளக்க வேண்டும்.
சியோமியின் அதிகாரப்பூர்வ அறிக்கைகள் பயனர் ஒப்புக்கொண்ட தரவை மட்டுமே சேகரிக்கின்றன என்பதை வலியுறுத்துகின்றன. ஆகையால், நிறுவனம் அவர்களின் தனியுரிமை மற்றும் தரவு சேகரிப்புக் கொள்கைகளில் மறைநிலை பயன்முறையில் கூட தேடல் சொற்கள் மற்றும் பிற பயனர் தரவின் சேகரிப்பு உள்ளதா என்பதை தெளிவுபடுத்த வேண்டும்.
இந்த அறிக்கைக்கு பெயரிடுங்கள் போலி செய்தி - சிறந்த பதில் அல்ல. இரண்டு ஆராய்ச்சியாளர்களின் கண்டுபிடிப்புகள் ஒவ்வொன்றையும் சியோமி முன் வந்து மறுக்க வேண்டும். சியோமியால் இதைச் செய்ய முடியாவிட்டால், நிறுவனம் அதன் தரவு சேகரிப்புக் கொள்கையை விரைவில் விளக்கி திருத்த வேண்டும்.
