א פּאָר פון טעג צוריק, פאָרבעס אַרייַנגעשיקט אַ הויפּט דערציילונג וועגן ווי Xiaomi קאַלעקץ בלעטערער דאַטן, אַרייַנגערעכנט URL ס באזוכט דורך Mi ניצערס. בשעת דאַטן זאַמלונג איז אָפט אָפט צווישן רובֿ בראַוזערז אויף דעם מאַרק הייַנט, דער באַריכט כיילייץ אַז זוכן טערמינען און URL ס זענען שפּירט אפילו אין אַ פארמאכט בלעטערער מאָדע, באַוווסט ווי ינקאָגניטאָ.
פריער היינט, Xiaomi האָט אַרייַנגעשיקט אַ בלאָג אין ענטפער צו די געשיכטע און דערקלערט די זייַט פון די געשיכטע. איר קענען לייענען זייער באַאַמטער ענטפֿערן פֿון דאָ.
צו בעסער פֿאַרשטיין וואָס איז געשעעניש אין דער געשיכטע איך האָבן סאַמערייזד אַלע די טשאַרדזשיז און די ענטפֿערס צו יעדער פון זיי. איך האָב אויך צוגעגעבן וואָס פאָרשער Andrew Tierney האָט געזאָגט וועגן יעדער ענטפער.
געפֿינען 1:
Gabriel Kirlig (ער איז געווען דער ערשטער צו געפֿינען דאָס און דערקלערט עס אין פאָרבעס מעשיות) געפֿונען אַז Xiaomi ס Mi Browser און Mint Browser שפּירט אַלע וועבסיטעס אַז די Mi באַניצער באזוכט, אַרייַנגערעכנט Google און Google אָנפֿרעגן. DuckDuckGo. טראַקינג איז געווען אָפט אפילו ווען דער בלעטערער איז געווען שטעלן אין פּריוואַט אָדער ינקאָגניטאָ מאָדע. דער טעלעפאָן אויך שפּירט באַניץ דאַטן און געשיקט עס צוריק צו די סערווערס פון Xiaomi.
ענטפער פון Xiaomi:
Xiaomi אַלאַוז די זאַמלונג פון באַניצער דאַטן אַזאַ ווי "סיסטעם אינפֿאָרמאַציע, פּרעפֿערענצן, נוצן פון באַניצער צובינד פֿעיִקייטן, ריספּאַנסיוונאַס, פאָרשטעלונג, זכּרון באַניץ און קראַשינג ריפּאָרטינג."
עס איז נישט בישליימעס דערמאנט זוכן טערמינען, אָבער עס מוסיף אַז עס קאַלעקץ URL ס - " די URL איז געזאמלט צו ידענטיפיצירן וועב זייַטלעך וואָס לאָדן סלאָולי. עס גיט אונדז אַ געדאַנק ווי בעסטער צו פֿאַרבעסערן די קוילעלדיק בלעטערער פאָרשטעלונג. "
Xiaomi אויך צוגעגעבן אַז עס בלויז קאַלעקץ בראַוזינג דאַטן ווען דער באַניצער איז לאָגד אין זייער מי חשבון און די סינק באַשטעטיקן איז ענייבאַלד.
Xiaomi האט אויך באשטעטיקט אַז עס קאַלעקץ דאַטן פון באַניצער סטאַטיסטיק אפילו אין ינקאָגניטאָו מאָדע. דאָס איז חידוש אין באַטראַכטן אַז URL ס זענען אויך טייל פון די באַניצער סטאַטיסטיק דאַטן (וואָס איז באשטעטיקט דורך זייער באַאַמטער ויסזאָגונג).
אין אַדישאַן צו דער באַאַמטער Mi Blog מעלדן, די סעאָ פון Xiaomi ינדיאַ סטייטיד הייַנט אין אַ ספּעציעל ווידעא אַז קסיאַאָמי קאַלעקץ בלויז די דאַטן וואָס וסערס האָבן מסכים צו. ער האט אויך סטרעסט אַז די דאַטן קאַלעקטאַד אין ינקאָגניטאָ מאָדע איז "ינקריפּטיד און אַנאַנאַמאַס." איר קענט זען די ווידעא אונטן (עטלעכע טיילן זענען אין הינדיש, אָבער ער האָט דאָס אויך דערקלערט אויף ענגליש).
פאָרשער ענטפער:
ענדרו טירני איז נישט קאַנווינסט דורך Xiaomi ס ענטפער.
ערשטער, הייַנט, איך און אַ ביסל אנדערע מענטשן באשטעטיקט די באקומען דאַטן אויף עטלעכע דעוויסעס. עס איז קיין צווייפל אַז מינט בלעטערער סאַבמיץ זוכן טערמינען און URL ס אין ינקאָגנטאָ מאָדע.
- סיבערגיבבאָנס (@ סיבערגיבבאָנס) 1 מייַ 2020
בשעת Xiaomi האט געלייקנט קאַלעקטינג באַניצער דאַטן אין ינקאָגניטאָ מאָדע, Andrew האט באפרייט אַ נייַע ווידעא פֿאַר בלויז אַ ביסל מינוט צוריק און דעמאַנסטרייטיד ווי Xiaomi ס מינט בראַוזער געזאמלט וויכטיק באַניצער דאַטן, אפילו אין פּריוואַט מאָדע. עס איז טשיקאַווע צו זען אַז די געזאמלט דאַטן האָבן אַ UUID (וניווערסאַל יינציק ידענטיפיער) וואָס קען נישט טוישן אין מינדסטער 24 שעה. אזוי, די דאַטן קאַלעקטאַד און געשיקט צו די סערווערס קענען פּאַטענטשאַלי זיין טראַקט דורך אַ יחיד באַניצער.
דערגייונג 2:
מי באַניצער דאַטן זענען געשיקט צו ווייַט סערווערס אין לענדער אַזאַ ווי סינגאַפּאָר און רוסלאַנד, מיט וועב דאָומיינז רעגיסטרירט אין בעידזשינג.
ענטפער פון Xiaomi:
“Xiaomi פּאַבלישאַז עפנטלעך אינפֿאָרמאַציע פון וואָלקן ינפראַסטראַקטשער וואָס איז וויידספּרעד אין די אינדוסטריע. כל אינפֿאָרמאַציע פון אונדזער מעייווער - לייאַם באַדינונגס און ניצערס איז סטאָרד אויף סערווערס אין פאַרשידענע מעייווער - לייאַם מארקפלעצער, וווּ די היגע געזעצן און רעגיאַליישאַנז אויף דער שוץ פון פערזענלעכע דאַטן זענען שטרענג אַדכירד און וואָס מיר גאָר נאָכקומען. "
דער סעאָ פון קסיאַאָמי ינדיאַ אויך געזאגט אין זיין ווידעא אַז "אַלע דאַטן פון מי ניצערס אין ינדיאַ בלייבט אויף ינדיאַן סערווערס."
געפֿינען 3:
באַניצער דאַטן געשיקט צו סערווערס זענען בייס 64 ענקאָודיד, וואָס איז גרינג צו שפּור. אויף דעם וועג, די דאַטן קענען זיין לייענען, לפּחות אויף די קליענט זייַט.
ענטפער פון Xiaomi:
נו, Xiaomi האט נישט טאַקע גערירט דעם אַרויסגעבן אויף זיין בלאָג. ער האָט דערמאנט אַז די געשיקט דאַטן זענען ינקריפּטיד מיט TLS 1.2 ענקריפּשאַן. די טראַנסמיטטעד דאַטן קענען ניט זיין ינטערסעפּטאַד. אָבער די פירמע האט נישט רעדן וועגן Base64 סיסטעם די דאַטן אויף די קליענט זייַט.
די בילד, צוגעשטעלט דורך Xiaomi, ווייזט אַז די סטאַטיסטיק דאַטן זענען טראַנסמיטטעד איבער די TLS 1.2 הטטפּס ענקריפּשאַן פּראָטאָקאָל.
פאָרשער ענטפער:
טאַקע געזונט, דאָס איז TLS 1.2. אין מינדסטער עטלעכע טראַפ - איינער קען נישט ינטערסעפּט עס.
איך טאָן ניט טראַכטן דאָס איז געווען אלץ דיסקאַסט. דאָס איז אַריבערפירן ענקריפּשאַן צו די סערווערס, איך האט נישט צושטימען צו שיקן דאַטן. pic.twitter.com/sENH5OhEzN
- סיבערגיבבאָנס (@ סיבערגיבבאָנס) 1 מייַ 2020
דערגייונג 4:
די געזאמלט באַניצער דאַטן זענען נישט אַנאָנימע. Gabi און אנדערע ריסערטשערז האָבן געפֿונען אַז באַניצער דאַטן געשיקט צו Xiaomi ס סערווערס קענען זיין יידענאַפייד צו אַ ספּעציפיש באַניצער ווייַל זיי האָבן אַ אַסיינד UUID (וניווערסאַל יינציק ידענטיפיער).
ענטפער פון Xiaomi:
"דעם סקרעענשאָט ווייזט די קאָד פֿאַר ווי מיר דזשענערייט ראַנדאַמלי דזשענערייטאַד יינציק טאָקענס צו לייגן צו געמיינזאַם באַניץ סטאַטיסטיק, און די טאָקענס טאָן ניט גלייַכן קיין מענטש."
פאָרשער ענטפער:
נו, Andrew ס דעמאָ ווידעא געוויזן אַז זיין דאַטן געזאמלט דורך דעם בלעטערער איז געווען אַסיינד אַ ספּעציעל UUID פֿאַר אַלע דאַטן געשיקט איבער 24 שעה. ער איז נישט קאַנווינסט דורך די בילד געניצט דורך Xiaomi צו ווייַזן אַז די דאַטן זענען אַנאָנימע.
איך בין ספּעציעל אינטערעסירט ווייַל דאָס איז די פּאָסטן-אַבפאַסקייטיד קאָד - קב, אאז"ו ו. ווייזט אַז דאָס איז נישט אַ רוי מקור.
פארוואס איז דאָס?
אבער מער ימפּאָרטאַנטלי, רופן אַ UUID "אַנאַנאַמאַס" קען נישט מאַכן עס אַנאָנימע.
- סיבערגיבבאָנס (@ סיבערגיבבאָנס) 1 מייַ 2020
אונדזער נעמען:
כּמעט יעדער בלעטערער אין דער וועלט קאַלעקץ באַניצער דאַטן. עטלעכע קען באַגרענעצן דאָס צו קראַשינג ריפּאָרטינג, בשעת אנדערע בראַוזערז קען זיין אַ ביסל מער ינווייסיוו און זאַמלען באַניץ דאַטן.
כאָטש מיר זענען נישט זיכער ווי פיל דאַטן בראַוזערז ווי Google קראָום און Firefox קלייַבן, מיר וויסן אַז קאַלעקטינג זוכן טערמינען און URL ס, אפילו אין ינקאָגניטאָ מאָדע, איז נישט נאָרמאַל.
א ספּעציעלע מיינונג מאָדע אָדער ינקאָגניטאָ מאָדע יגזיסץ ספּאַסיפיקלי צו ויסמיידן טראַקט. און די דעמאָ ווידעא פון Andrew ווייזט קלאר ווי פיל דאַטן זענען געשיקט צוריק צו Xiaomi סערווערס, אַרייַנגערעכנט אָנפֿרעגן און ינקאָגניטאָו URL ס. Xiaomi קליימז אַז די דאַטן זענען אַנאָנימיזעד (עפשער אויף די סערווער זייַט), אָבער זיי זאָל גיין אויס און דערקלערן דעם פּראָצעס אין דעטאַל.
די באַאַמטער סטייטמאַנץ פון Xiaomi ונטערשטרייַכן אַז זיי בלויז קלייַבן דאַטן וואָס דער באַניצער איז מסכים צו. דעריבער, די פירמע אויך דאַרף צו דערקלערן צי זייער פּריוואַטקייט און דאַטן זאַמלונג פּאַלאַסיז אַרייַננעמען די זאַמלונג פון זוכן טערמינען און אנדערע באַניצער דאַטן, אפילו אין ינקאָגניטאָ מאָדע.
נאָמען דעם באַריכט שווינדל נייַעס - ניט דער בעסטער ענטפער. Xiaomi דאַרף קומען פאָרויס און ריפיוט יעדער איינער פון די פיינדינגז פון די צוויי ריסערטשערז. אויב Xiaomi קען נישט טאָן דאָס, די פירמע זאָל ווי באַלד ווי מעגלעך דערקלערן און רעוויסע די פּאָליטיק פֿאַר זאַמלונג פון דאַטן.
