Sinisi ng mga mananaliksik ang Xiaomi sa pagkolekta ng data sa pagba-browse mula sa mga browser nito

Ang mga kamakailang ulat ng mga security investigator ay tumutukoy sa isang nakababahala na isyu sa privacy na naobserbahan sa mga browser (Web Browser) ni Xiaomi sa Internet.

Ο katuwang at may-akda Forbes, Thomas Brewster , kasama ang mga mananaliksik nito Cyber ​​​​Security Gabriel Cirlig at Andrew Tierney, pagtatapos nila kamakailan lang sa isang ulat, na ang iba't ibang Web browser ng Xiaomi ay nagpapadala ng data sa mga malalayong server.

Sinasabi nila na ang data na ipinadala ay naglalaman ng kasaysayan ng lahat ng mga website na kanilang binisita, kabilang ang mga URL, lahat ng mga query na ginawa nila sa mga search engine at lahat ng impormasyong ipinapakita sa Xiaomi news feed, kasama ang meta data ng device. Ang pinaka-nakababahala ay ang data na ito ay nakolekta kahit na tila nagba-browse ka na ang function nito ay aktibo."hindi kilalang pagba-browse - Incognito".

Ang pangongolekta ng data na ito ay mukhang ginagawa pareho sa paunang naka-install na browser sa MIUI at sa Aking Browser Pro at Mint Browser , na parehong magagamit para sa pag-download sa pamamagitan ng Google Store Play. Ang mga browser na ito ay magkakasamang may kabuuang mahigit 15 milyong pag-download sa Play Store, habang ang pangunahing browser ay paunang na-load sa lahat ng Xiaomi device.

Kasama sa mga nasubok na device Redmi Note 8, Mi A1, Mi 10, Redmi K20 at Mi Mix 3. Walang pagkakaiba sa pagitan nila Android One Mga device na pinapagana ng Xiaomi at MIUI, dahil ibinabahagi ang pangongolekta ng data sa default na browser. Samakatuwid, ang isyung ito ay mukhang hindi lamang nakatutok sa MIUI, ngunit depende sa kung gumagamit ka ng alinman sa tatlong browser na nakalista sa itaas sa iyong device, at ito ay independiyente sa pinagbabatayan na operating system kung saan tumatakbo ang iyong device (MIUI o Android One). Iba pang mga kilalang browser tulad ng Google Chrome at Apple Safari, mangolekta ng mas kaunting data, na pangunahing nauugnay sa mga ulat ng problema.

Η Xiaomi ay tumugon sa pamamagitan ng pagkumpirma na ang data sa pagba-browse na kinokolekta nito ay ganap na sumusunod sa mga lokal na batas at regulasyon sa mga isyu sa privacy ng data ng user. Ang impormasyong nakolekta ay pinahintulutan ng gumagamit at hindi nagpapakilala. Gayunpaman, itinanggi ng kumpanya ang mga paratang ng pagsisiyasat, na nagsabing….

Gayunpaman, natuklasan ng mga mananaliksik na ang paratang na ito ng hindi nagpapakilala ay hindi tumpak, dahil ang data na ipinadala ng Xiaomi ay "naka-encrypt", ngunit naka-code sa anyo ng base64, na madaling ma-decode. Dahil ang data sa pagba-browse ay napakadaling ma-decode, at dahil ang data na nakolekta ay naglalaman din ng meta information ng mga device, ang data sa pagba-browse na ito ay maaaring medyo madaling nauugnay sa mga aksyon ng mga indibidwal na user.

Bilang karagdagan, natuklasan ng mga mananaliksik na ginawa ng mga browser ng Xiaomi I-ping sa Mga Server na nauugnay sa Mga Sensor Analytics, isang Chinese startup company na kilala rin bilang Mga Sensor ng Data, na kilala sa pagbibigay ng mga serbisyo sa pagsusuri ng asal. Ang mga browser ay naglalaman din ng isang API na tinatawag SensorDataAPI. Tinutukoy din ng Xiaomi ang customer sa Website ng Data ng Sensor .

Tumugon si Xiaomi sa kanyang ulat Forbes pagtanggi sa iba't ibang aspeto ng mga publikasyon:

Ang mga imbestigador ay muling tumugon sa pagtanggi ni Xiaomi na may karagdagang katibayan ng kasanayan sa pagkolekta ng data ng kumpanya.

Narito ang kahilingan na ginagawa.

Bilang isang curl command sa pastebin.https://t.co/44pCpBtQzD pic.twitter.com/Uj2bZZH5Pl

- Cybergibbons (@cybergibbons) Abril 30, 2020

Sa impormasyong magagamit sa ngayon, tila may isang nakababahala na isyu ng privacy at kung paano gumagana ang mga browser na ito. Inaasahan namin ang mga bagong sagot mula sa Xiaomi sa buong isyu.

Pinagmulan