路透社發布了一篇警告文章,稱中國巨頭小米正在記錄數百萬人的線上活動以及設備使用情況的個人資料。 「這是手機功能的後門,」加比·西里格 (Gabi Cirlig) 半開玩笑地談到他的新小米智慧型手機時說道。
這位經驗豐富的網路安全研究人員發現他的 Redmi Note 8 智慧型手機正在監視他所做的一切後,接受了《福布斯》採訪。然後,這些數據被發送到中國科技巨頭阿里巴巴託管的遠端伺服器,這些伺服器很可能是由小米租用的。
柯利格先生發現,有關他的行為的大量信息正在被跟踪,同時從設備中同時收集了各種類型的數據- 這位專家感到震驚的是,這家中國公司完全了解他的身份和私人生活的細節。
當他在設備上的預設小米瀏覽器中瀏覽網站時,後者會記錄所有訪問過的網站,包括來自搜尋引擎的查詢,無論是Google 還是注重隱私的DuckDuckGo,並且在小米shell 的新聞提要中查看的所有項目都被記錄下來。也記錄了。此外,即使使用「隱身」模式,所有這些監視仍然有效。
裝置記錄了哪些資料夾被打開,哪些螢幕被切換,甚至當它到達狀態列和裝置設定頁面時。儘管伺服器的網域註冊在北京,但所有資料都批量發送到新加坡和俄羅斯的遠端伺服器。
應福布斯的要求,另一位網路安全研究員安德魯·蒂爾尼 (Andrew Tierney) 進行了自己的調查。他還發現小米在 Google Play 上提供的瀏覽器 - Mi Browser Pro 和 Mint Browser - 收集相同的數據。根據 Google Play 統計,它們的安裝次數總計超過 15 萬次,這意味著數百萬台設備可能會受到影響。
柯利格先生表示,這些問題適用於更多的模型。他下載了其他小米手機的固件,包括小米10、小米紅米K20和小米MIX 3,然後確認它們使用相同的瀏覽器並且可能遇到相同的隱私問題。
小米將資料傳輸到其伺服器的方式似乎也存在困難。儘管這家中國公司聲稱資料已加密,但 Gabi Kirlig 發現他可以很快看到從他的裝置下載的內容,因為加密使用了最簡單的 Base64 演算法。只花了幾秒鐘的時間,資料包就變成了可讀的資訊。他還警告說:“我對隱私的主要擔憂是發送到遠端伺服器的資料很容易與特定用戶相關聯。”
針對上述專家的調查結果,小米發言人表示,研究說法不屬實,隱私和安全至關重要,公司嚴格遵守並完全遵守當地有關用戶隱私問題的法律法規。但發言人證實,瀏覽數據正在被收集,並稱這些資訊是匿名的,與任何個人無關,且用戶同意此類追蹤。
但正如Gabi Kirlig 和Andrew Tierney 指出的那樣,發送到伺服器的不僅僅是有關訪問過的網站或互聯網搜索的信息:小米還收集了有關手機的數據,包括用於識別特定設備和Android 版本的唯一號碼。如果需要,此類元資料可以輕鬆地與螢幕後面的真人相關聯。
小米發言人也否認了瀏覽數據在隱身模式下被記錄的說法。然而,安全研究人員在獨立測試中發現,無論瀏覽器運行在何種模式下,他們的線上行為都會向遠端伺服器發送訊息,並提供照片和影片作為證據。
當《福布斯》記者向小米提供一段視頻,展示谷歌搜尋和網站訪問如何在隱身模式下發送到遠端伺服器時,該公司發言人繼續否認資訊被記錄:「該視頻展示了匿名瀏覽數據的收集,是網路公司透過分析非個人識別資訊來改善整體瀏覽體驗的最常見決策之一。”
不過,安全專家認為,小米瀏覽器的行為比Google Chrome 或Apple Safari 等其他流行瀏覽器更具攻擊性:後者在未經用戶明確同意且處於隱私瀏覽模式的情況下,不會記錄包括URL 在內的瀏覽器行為。
此外,Kirlig先生在研究中發現,小米智慧型手機上預先安裝的音樂播放器會收集有關聆聽習慣的資訊:播放哪些歌曲以及何時播放。
Gabi Kirlig 也懷疑小米正在監控軟體使用情況,因為每次他打開應用程式時,少量資訊都會傳送到遠端伺服器。 《富比士》引述另一位匿名研究人員的話說,他還記錄了這家中國公司的手機如何收集類似數據。小米並未對此事發表評論。
據悉,這些數據被發送給中國分析公司Sensors Analytics(又稱Sensors Data),該公司成立於2015年,從事用戶行為深度分析並提供專業諮詢服務。其工具透過檢查關鍵行為模式幫助客戶探索隱藏資料。小米發言人證實了與這家新創公司的聯繫:「雖然Sensors Analytics為小米提供了數據分析解決方案,但收集到的匿名數據儲存在小米自己的伺服器上,不會與Sensors Analytics或任何其他第三方公司共享。”
來源: 3dnews.ru