Как Xiaomi шпионит за пользователями?

Китайская компания опять в центре скандала. Исследователи обвиняют веб-браузеры Сяоми в сборе данных о просмотрах – даже в режиме инкогнито. Узнай, как Xiaomi шпионит за пользователями.

В декабре 2017 года компания уже попадала в подобный скандал, так как была уличена в шпионаже за пользователями через приложение для мониторинга телефонов Xiaomi.

Как Сяоми шпионит за пользователем?

Последние сообщения от исследователей безопасности указывают на тревожную проблему конфиденциальности, наблюдаемую в веб-браузерах Xiaomi.

Автор и помощник редактора по кибербезопасности Forbes Томас Брюстер вместе с исследователями кибербезопасности Габриэлем Серлигом и Эндрю Тирни недавно пришли к выводу, что различные веб-браузеры Xiaomi отправляют данные на удаленные серверы.

Xiaomi обвиняют в шпионаже за пользователями

Они утверждают, что отправляемые данные включали в себя историю всех посещенных веб-сайтов, включая URL-адреса, все запросы поисковых систем и все элементы, просматриваемые в ленте новостей Xiaomi, а также метаданные устройства.

Что особенно поразило исследователей – это сбор данных даже если пользователь просматривает страницы с включенным «режимом инкогнито».

Как происходит сбор данных?

Сбор данных, по-видимому, происходит в предустановленном стоковом браузере на MIUI, а также в Mi Browser Pro и Mint Browser, которые доступны для загрузки через Google Play Store.

Стандартный браузер предварительно загружен на все устройства Xiaomi.

Среди протестированных устройств: Redmi Note 8, Mi A1, Mi 10, Redmi K20 и Mi Mix 3. Сбор данных был обнаружен даже на телефонах Сяоми с чистым Андроидом.

Таким образом, эта проблема не является MIUI-ориентированной, а зависит от того, используете ли вы на своем смартфоне Сяоми один из этих трех браузеров, независимо от базовой ОС. Другие браузеры, такие как Google Chrome и Apple Safari, собирают гораздо меньше данных, ограничивая себя использованием и анализом сбоев.

Официальный ответ Xiaomi

Оригинал ответа можно найти в официальном блоге. В своём ответе компания, казалось бы, подтвердила, что собираемые данные о просмотре полностью соответствуют местным законам и нормам в отношении конфиденциальности данных пользователей. Собранная информация была одобрена пользователем и анонимна. Однако компания опровергла претензии в исследовании.

Утверждения исследования не соответствуют действительности. Конфиденциальность и безопасность имеют первостепенное значение.

Энтузиасты в области кибербезопасности сочли это заявление про анонимность сомнительным. Данные, которые отправляла Xiaomi, по общему признанию, были «зашифрованы». Но они были закодированы в base64, который может быть легко декодирован.

Поскольку данные просмотра могут быть декодированы довольно тривиальным образом. И поскольку собранные данные также содержат метаданные устройства, эти данные просмотра могут, по-видимому, соотноситься с действиями отдельных пользователей без значительных усилий.

Кроме того, исследователи обнаружили, что браузеры Xiaomi проверяли домены, связанные с Sensors Analytics, китайским стартапом, также известным как Sensors Data, который известен своими службами поведенческой аналитики. Браузеры также содержат API под названием SensorDataAPI. Xiaomi также указан в качестве клиента на веб-сайте Sensors Data.

Обновление: Сяоми опровергает обвинения?

В официальном сообщении на Mi.com, Xiaomi категорически отвергает обвинения в нарушении конфиденциальности пользователей.

Сяоми опровергает обвинения

«Руководство компании было разочаровано, прочитав недавнюю статью от Forbes. Мы считаем, что они неправильно поняли то, что мы сообщили о наших принципах и политике конфиденциальности данных.

Конфиденциальность и безопасность наших пользователей является приоритетной задачей Xiaomi. Мы уверены, что строго соблюдаем и полностью соблюдаем местные законы и правила. Мы обратились к Forbes, чтобы внести ясность в эту неудачную неверную интерпретацию».

Данные собираются, но идентифицировать пользователя нельзя!

Компания подтверждает, что они собирают «сводные данные статистики использования», которые включают:

  • системную информацию,
  • предпочтения,
  • использование функций пользовательского интерфейса,
  • отзывчивость,
  • производительность,
  • использование памяти и отчеты о сбоях.

Разработчики утверждают, что эта информация «не может в одиночку использоваться для идентификации какого-либо пользователя».

Да, URL-адреса собираются, но это делается для «идентификации веб-страниц, которые загружаются медленно», чтобы разработчики могли выяснить, «как лучше всего повысить общую эффективность просмотра в браузере».

Далее компания заявляет, что отдельные истории просмотра данных синхронизируются, но это происходит только в том случае, если «есть Mi аккаунт… и функция синхронизации данных установлена ​​на «Вкл» в разделе «Настройки».

Сяоми отрицает, что данные просмотра, кроме вышеупомянутых агрегированных данных статистики использования, синхронизируются, когда пользователь включил режим инкогнито.

В официальном ответе также опубликованы скриншоты фрагментов кода из одного из браузерных приложений (хотя не указано, какой это именно браузер).

Фрагмент кода, по-видимому, взят из исходного кода браузера и показывает: «как Mi Browser работает в режиме инкогнито, где никакие данные о просмотре пользователем не будут синхронизироваться».

Второе изображение «показывает, что данные статистики использования передаются по протоколу HTTPS TLS 1.2 шифрования.

Один из скриншотов демонстрирует, что совокупная статистика использования, которую собирает Xiaomi, «хранится в домене Xiaomi» и не передается в Sensor Analytics.

Выводы

В заключение, китайская компания приводит 4 сертификата, которые их программное обеспечение получило от TrustArc и British Standard Institution (BSI). Эти сертификаты включают ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 и TRUSTe.

Официальный ответ Xiaomi продолжает вызывать сомнения у исследователей, опубликовавших свой отчет в Forbes.

Эндрю Тирни заявляет, что он и еще несколько человек повторно подтвердили результаты, полученные на нескольких устройствах: «нет сомнений в том, что браузер Mint отправляет поисковые термины и URL-адреса в режиме инкогнито».

Эндрю утверждает, что код, опубликованный Xiaomi, не демонстрирует, что их «случайно сгенерированные уникальные токены» не могут быть соотнесены с отдельными лицами.

Исследователи отмечают, что UUID сохраняется во время сеансов просмотра и изменяется только после переустановки браузера. Где именно Xiaomi хранит данные: только на своих серверах или где-либо еще, не было предметом спора.

Эндрю Тирни не обвиняет Xiaomi в отправке данных на удаленные серверы небезопасными методами. Он отмечает, что проблема заключается в отправляемых самих данных.

Послесловие

Каждый крупный производитель мобильных телефонов следит за своими пользователями и собирает данные. Это не означает что нужно перестать пользоваться своим смартфонов. Просто теперь вы знаете, что данные могут собираться, какая именно информация собирается, и как это делается. Предупреждён, значит вооружён. Не будьте параноиками.

Оставьте ответ

Оставьте ваш комментарий или отзыв о Xiaomi, выскажите мнение, поделитесь мыслями или прокомментируйте. Соблюдайте грамотность и будьте вежливы к остальным Mi фанам.

Ваш email остаётся конфиденциальным и не будет опубликован. Если страница перезагрузилась - значит ваш комментарий добавлен и вскоре будет опубликован. Повторно отправлять его не нужно.

один × 5 =