路透社发布警告文章称,中国巨头小米正在记录数百万人的在线活动和设备使用情况的个人数据。 “这是手机功能的后门,”加比·西里格 (Gabi Cirlig) 半开玩笑地谈到他的新款小米智能手机时说道。
这位经验丰富的网络安全研究人员发现他的 Redmi Note 8 智能手机正在监视他所做的一切后,接受了《福布斯》采访。 然后,这些数据被发送到由中国科技巨头阿里巴巴托管的远程服务器,这些服务器很可能是由小米租用的。
柯利格先生发现,有关他的行为的大量信息正在被跟踪,同时从设备中同时收集了各种类型的数据 - 这位专家感到震惊的是,这家中国公司完全了解他的身份和私人生活的细节。
当他在设备上的默认小米浏览器中浏览网站时,后者会记录所有访问过的网站,包括来自搜索引擎的查询,无论是 Google 还是注重隐私的 DuckDuckGo,并且在小米 shell 的新闻提要中查看的所有项目都被记录下来。也记录了。 此外,即使使用“隐身”模式,所有这些监视仍然有效。
设备记录了哪些文件夹被打开,哪些屏幕被切换,甚至当它到达状态栏和设备设置页面时。 尽管服务器的域名注册在北京,但所有数据都批量发送到新加坡和俄罗斯的远程服务器。
应福布斯的要求,另一位网络安全研究员安德鲁·蒂尔尼 (Andrew Tierney) 进行了自己的调查。 他还发现小米在 Google Play 上提供的浏览器 - Mi Browser Pro 和 Mint Browser - 收集相同的数据。 根据 Google Play 统计数据,它们的安装总数已超过 15 万次,这意味着数百万台设备可能受到影响。
柯利格先生表示,这些问题适用于更多的模型。 他下载了其他小米手机的固件,包括小米10、小米红米K20和小米MIX 3,然后确认它们使用相同的浏览器并且可能遇到相同的隐私问题。
小米将数据传输到其服务器的方式似乎也存在困难。 尽管这家中国公司声称数据已加密,但 Gabi Kirlig 发现他可以很快看到从他的设备下载的内容,因为加密使用了最简单的 Base64 算法。 只用了几秒钟的时间,数据包就变成了可读的信息。 他还警告说:“我对隐私的主要担忧是发送到远程服务器的数据很容易与特定用户相关联。”
针对上述专家的调查结果,小米发言人表示,研究说法不属实,隐私和安全至关重要,公司严格遵守并完全遵守当地有关用户隐私问题的法律法规。 但该发言人证实,浏览数据正在被收集,并称这些信息是匿名的,与任何个人无关,并且用户同意此类跟踪。
但正如 Gabi Kirlig 和 Andrew Tierney 指出的那样,发送到服务器的不仅仅是有关访问过的网站或互联网搜索的信息:小米还收集了有关手机的数据,包括用于识别特定设备和 Android 版本的唯一号码。 如果需要,此类元数据可以轻松地与屏幕后面的真人相关联。
小米发言人还否认了浏览数据在隐身模式下被记录的说法。 然而,安全研究人员在独立测试中发现,无论浏览器运行在何种模式下,他们的在线行为都会向远程服务器发送消息,并提供照片和视频作为证据。
当《福布斯》记者向小米提供一段视频,展示谷歌搜索和网站访问如何在隐身模式下发送到远程服务器时,该公司发言人继续否认信息被记录:“该视频展示了匿名浏览数据的收集,是互联网公司通过分析非个人身份信息来改善整体浏览体验的最常见决策之一。”
不过,安全专家认为,小米浏览器的行为比 Google Chrome 或 Apple Safari 等其他流行浏览器更具攻击性:后者在未经用户明确同意且处于隐私浏览模式的情况下,不会记录包括 URL 在内的浏览器行为。
此外,Kirlig先生在研究中发现,小米智能手机上预装的音乐播放器会收集有关收听习惯的信息:播放哪些歌曲以及何时播放。
Gabi Kirlig 还怀疑小米正在监控软件使用情况,因为每次他打开应用程序时,少量信息都会发送到远程服务器。 福布斯援引另一位匿名研究人员的话说,他还记录了这家中国公司的手机如何收集类似数据。 小米并未对此事发表评论。
据悉,这些数据被发送给中国分析公司Sensors Analytics(又称Sensors Data),该公司成立于2015年,从事用户行为深度分析并提供专业咨询服务。 其工具通过检查关键行为模式帮助客户探索隐藏数据。 小米发言人证实了与这家初创公司的联系:“虽然Sensors Analytics为小米提供了数据分析解决方案,但收集到的匿名数据存储在小米自己的服务器上,不会与Sensors Analytics或任何其他第三方公司共享。”
来源: 3dnews.ru