เมื่อสองสามวันก่อน Forbes ได้โพสต์เรื่องราวสำคัญเกี่ยวกับวิธีที่ Xiaomi รวบรวมข้อมูลเบราว์เซอร์รวมถึง URL ที่ผู้ใช้ Mi เข้าเยี่ยมชม แม้ว่าการรวบรวมข้อมูลจะเป็นเรื่องปกติในเบราว์เซอร์ส่วนใหญ่ในตลาดในปัจจุบัน แต่รายงานเน้นว่ามีการติดตามข้อความค้นหาและ URL แม้ในโหมดเบราว์เซอร์แบบปิดที่เรียกว่าไม่ระบุตัวตน
ก่อนหน้านี้ในวันนี้ Xiaomi ได้โพสต์บล็อกเพื่อตอบสนองต่อเรื่องนี้โดยอธิบายถึงเรื่องราวของมัน คุณสามารถอ่านคำตอบอย่างเป็นทางการได้จาก ที่นี่.
เพื่อทำความเข้าใจสิ่งที่เกิดขึ้นในเรื่องนี้ให้ดียิ่งขึ้นฉันได้สรุปข้อกล่าวหาทั้งหมดและคำตอบของแต่ละข้อหา ฉันยังได้เพิ่มสิ่งที่นักวิจัย Andrew Tierney พูดเกี่ยวกับคำตอบแต่ละข้อ
ค้นหา 1:
Gabriel Kirlig (เขาเป็นคนแรกที่ค้นพบสิ่งนี้และอธิบายไว้ใน เรื่องราวของ Forbes) พบว่า Mi Browser และ Mint Browser ของ Xiaomi ติดตามเว็บไซต์ทั้งหมดที่ผู้ใช้ Mi เข้าเยี่ยมชมรวมถึงการค้นหาของ Google และ Google DuckDuckGo. การติดตามเป็นเรื่องปกติแม้ว่าเบราว์เซอร์จะเข้าสู่โหมดส่วนตัวหรือไม่ระบุตัวตน โทรศัพท์ยังติดตามข้อมูลการใช้งานและส่งกลับไปยังเซิร์ฟเวอร์ของ Xiaomi
คำตอบของ Xiaomi:
Xiaomi อนุญาตให้รวบรวมข้อมูลผู้ใช้เช่น "ข้อมูลระบบการตั้งค่าการใช้คุณสมบัติส่วนติดต่อผู้ใช้การตอบสนองประสิทธิภาพการใช้หน่วยความจำและการรายงานข้อขัดข้อง"
ไม่ได้กล่าวถึงข้อความค้นหาอย่างชัดเจน แต่เพิ่มว่ารวบรวม URL - " URL ถูกรวบรวมเพื่อระบุหน้าเว็บที่โหลดช้า ช่วยให้เราทราบถึงวิธีที่ดีที่สุดในการปรับปรุงประสิทธิภาพโดยรวมของเบราว์เซอร์ "
Xiaomi ยังเสริมว่าจะรวบรวมข้อมูลการท่องเว็บเฉพาะเมื่อผู้ใช้ล็อกอินเข้าสู่บัญชี Mi และเปิดใช้งานการตั้งค่าการซิงค์
Xiaomi ยังยืนยันว่ารวบรวมข้อมูลสถิติผู้ใช้แม้ในโหมดไม่ระบุตัวตน สิ่งนี้น่าแปลกใจเมื่อพิจารณาว่า URL เป็นส่วนหนึ่งของข้อมูลสถิติของผู้ใช้ด้วย (ซึ่งได้รับการยืนยันโดยคำชี้แจงอย่างเป็นทางการ)
นอกเหนือจากการประกาศ Mi Blog อย่างเป็นทางการแล้ว CEO ของ Xiaomi India ยังระบุในวิดีโอพิเศษในวันนี้ว่า Xiaomi รวบรวมเฉพาะข้อมูลที่ผู้ใช้ตกลงเท่านั้น เขายังเน้นด้วยว่าข้อมูลที่รวบรวมในโหมดไม่ระบุตัวตนนั้น "เข้ารหัสและไม่ระบุตัวตน" คุณสามารถดูวิดีโอด้านล่าง (บางส่วนเป็นภาษาฮินดี แต่เขาอธิบายเป็นภาษาอังกฤษด้วย)
คำตอบของนักวิจัย:
Andrew Tierney ไม่เชื่อในคำตอบของ Xiaomi
อย่างแรกวันนี้ฉันและคนอื่น ๆ อีกสองสามคนยืนยันข้อมูลที่ได้รับบนอุปกรณ์หลายเครื่องอีกครั้ง ไม่ต้องสงสัยเลยว่าเบราว์เซอร์ Mint ส่งข้อความค้นหาและ URL ในโหมด Incognto
- Cybergibbons (@cybergibbons) 1 เมืองพฤษภาคม 2020
ในขณะที่ Xiaomi ปฏิเสธการรวบรวมข้อมูลผู้ใช้ในโหมดไม่ระบุตัวตน Andrew ได้เปิดตัววิดีโอใหม่เมื่อไม่กี่นาทีที่ผ่านมาซึ่งแสดงให้เห็นว่า Mint Browser ของ Xiaomi รวบรวมข้อมูลผู้ใช้ที่สำคัญได้อย่างไรแม้ในโหมดส่วนตัว เป็นเรื่องน่าสนใจที่จะเห็นว่าข้อมูลที่รวบรวมมี UUID (Universally Unique Identifier) ที่ไม่เปลี่ยนแปลงเป็นเวลาอย่างน้อย 24 ชั่วโมง ดังนั้นข้อมูลที่รวบรวมและส่งไปยังเซิร์ฟเวอร์อาจถูกติดตามโดยผู้ใช้แต่ละราย
ค้นหา 2:
ข้อมูลผู้ใช้ของ Mi ถูกส่งไปยังเซิร์ฟเวอร์ระยะไกลในประเทศต่างๆเช่นสิงคโปร์และรัสเซียโดยมีโดเมนเว็บที่จดทะเบียนในปักกิ่ง
คำตอบของ Xiaomi:
“ Xiaomi กำลังโฮสต์ข้อมูลโครงสร้างพื้นฐานระบบคลาวด์สาธารณะที่แพร่หลายในอุตสาหกรรม ข้อมูลทั้งหมดจากบริการในต่างประเทศและผู้ใช้ของเราจะถูกจัดเก็บไว้บนเซิร์ฟเวอร์ในตลาดต่างประเทศที่แตกต่างกันซึ่งกฎหมายและข้อบังคับในท้องถิ่นเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลได้รับการปฏิบัติตามอย่างเคร่งครัดและเราปฏิบัติตามอย่างเต็มที่ "
ซีอีโอของ Xiaomi India ยังกล่าวในวิดีโอของเขาด้วยว่า "ข้อมูลทั้งหมดจากผู้ใช้ Mi ในอินเดียยังคงอยู่บนเซิร์ฟเวอร์ของอินเดีย"
ค้นหา 3:
ข้อมูลผู้ใช้ที่ส่งไปยังเซิร์ฟเวอร์ได้รับการเข้ารหัส base64 ซึ่งง่ายต่อการติดตาม วิธีนี้สามารถอ่านข้อมูลได้อย่างน้อยก็ในฝั่งไคลเอ็นต์
คำตอบของ Xiaomi:
Xiaomi ไม่ได้สัมผัสกับปัญหานี้ในบล็อกจริงๆ เขากล่าวว่าข้อมูลที่ส่งถูกเข้ารหัสโดยใช้การเข้ารหัส TLS 1.2 ดังนั้นจึงไม่สามารถดักจับข้อมูลที่ส่งได้ แต่ บริษัท ไม่ได้พูดถึง base64 การเข้ารหัสข้อมูลในฝั่งไคลเอ็นต์
ภาพนี้จัดทำโดย Xiaomi แสดงให้เห็นว่าข้อมูลสถิติการใช้งานถูกส่งโดยใช้โปรโตคอลการเข้ารหัส TLS 1.2 HTTPS
คำตอบของนักวิจัย:
อ้อนั่นคือ TLS 1.2 อย่างน้อยก็มีการสุ่มบางอย่างไม่สามารถสกัดกั้นได้
ฉันไม่คิดว่าเรื่องนี้เคยคุยกัน นี่คือการเข้ารหัสการขนส่งไปยังเซิร์ฟเวอร์ฉันไม่ยินยอมที่จะส่งข้อมูล pic.twitter.com/sENH5OhEzN
- Cybergibbons (@cybergibbons) 1 เมืองพฤษภาคม 2020
ค้นหา 4:
ข้อมูลผู้ใช้ที่รวบรวมไม่ได้ระบุชื่อ Gabi และนักวิจัยคนอื่น ๆ พบว่าข้อมูลผู้ใช้ที่ส่งไปยังเซิร์ฟเวอร์ Xiaomi สามารถระบุไปยังผู้ใช้บางรายได้เนื่องจากมี UUID ที่กำหนดไว้ (ตัวระบุที่ไม่ซ้ำกันในระดับสากล)
คำตอบของ Xiaomi:
"ภาพหน้าจอนี้แสดงรหัสสำหรับวิธีที่เราสร้างโทเค็นเฉพาะที่สร้างขึ้นแบบสุ่มเพื่อเพิ่มในสถิติการใช้งานโดยรวมและโทเค็นเหล่านี้ไม่ตรงกับบุคคลใด ๆ "
คำตอบของนักวิจัย:
วิดีโอสาธิตของ Andrew แสดงให้เห็นว่าข้อมูลของเขาที่เก็บรวบรวมโดยเบราว์เซอร์ได้รับการกำหนด UUID พิเศษสำหรับข้อมูลทั้งหมดที่ส่งมาใน 24 ชั่วโมง เขาไม่มั่นใจกับภาพที่ Xiaomi ใช้เพื่อแสดงว่าข้อมูลนั้นไม่ระบุชื่อ
ฉันสนใจเป็นพิเศษเนื่องจากนี่คือรหัสที่โพสต์สับสน - cb เป็นต้นแสดงให้เห็นว่านี่ไม่ใช่แหล่งข้อมูลดิบ
ทำไมถึงเป็นแบบนี้?
แต่ที่สำคัญกว่านั้นการเรียก UUID ว่า "ไม่ระบุตัวตน" ไม่ได้ทำให้ไม่ระบุชื่อ
- Cybergibbons (@cybergibbons) 1 เมืองพฤษภาคม 2020
เวลาของเรา:
เกือบทุกเบราว์เซอร์ในโลกรวบรวมข้อมูลผู้ใช้ บางตัวอาจ จำกัด การรายงานข้อขัดข้องในขณะที่เบราว์เซอร์อื่น ๆ อาจมีการบุกรุกและรวบรวมข้อมูลการใช้งานมากกว่าเล็กน้อย
แม้ว่าเราจะไม่แน่ใจว่าเบราว์เซอร์ข้อมูลเช่น Google Chrome และ Firefox รวบรวมได้มากเพียงใด แต่เราทราบดีว่าการรวบรวมข้อความค้นหาและ URL แม้ในโหมดไม่ระบุตัวตนนั้นไม่ใช่เรื่องปกติ
มีโหมดมุมมองพิเศษหรือโหมดไม่ระบุตัวตนโดยเฉพาะเพื่อหลีกเลี่ยงการถูกติดตาม และวิดีโอสาธิตของ Andrew แสดงให้เห็นอย่างชัดเจนว่าข้อมูลถูกส่งกลับไปยังเซิร์ฟเวอร์ของ Xiaomi รวมถึงการค้นหาและ URL ที่ไม่ระบุตัวตน Xiaomi อ้างว่าข้อมูลนี้ไม่ระบุตัวตน (อาจอยู่ที่ฝั่งเซิร์ฟเวอร์) แต่พวกเขาควรอธิบายรายละเอียดกระบวนการ
แถลงการณ์อย่างเป็นทางการของ Xiaomi เน้นย้ำว่าพวกเขารวบรวมเฉพาะข้อมูลที่ผู้ใช้ยินยอมเท่านั้น ดังนั้น บริษัท จึงจำเป็นต้องชี้แจงด้วยว่านโยบายความเป็นส่วนตัวและการรวบรวมข้อมูลรวมถึงการรวบรวมคำค้นหาและข้อมูลผู้ใช้อื่น ๆ หรือไม่แม้ในโหมดไม่ระบุตัวตน
ตั้งชื่อรายงานนี้ ข่าวปลอม - ไม่ใช่คำตอบที่ดีที่สุด Xiaomi ต้องก้าวไปข้างหน้าและหักล้างข้อค้นพบของนักวิจัยทั้งสอง หาก Xiaomi ไม่สามารถดำเนินการดังกล่าวได้ บริษัท ควรอธิบายและแก้ไขนโยบายการรวบรวมข้อมูลโดยเร็วที่สุด