首页 > 新闻 > > 正文
2020-05-05 16:47:08

小米对隐私浏览数据收集指控的回应进行了分析和解释

福布斯的一篇文章声称,小米智能手机正在收集浏览器数据,包括匿名会话,并将其发送到俄罗斯和新加坡的服务器。 虽然猖獗的数据收集确实是互联网公司的不幸现状,但小米所使用的编码的性质使网络安全专家感到震惊。 小米发布了一个详细的博客,解释了他们的隐私政策和数据收集实践,曼努·库马尔·贾恩甚至录制了一段视频来揭穿福布斯文章所提出的可怕的说法

虽然这一反应在小米的博客上详细列出,但似乎都有点太技术性了。 为了帮助你理解它,我们已经细分了福布斯作品中的每一项声明和小米对它的反应-

《福布斯》中引用的网络安全专家GabrielCirlig是第一个发现这一点的人。 他发现了Mi览器(默认安装在所有小米手机中),以及MintBrowser(在GooglePlay Store上有数千个安装),正在跟踪您访问的URL以及您在DuckDuck Go上使用的搜索术语以及Google搜索。 浏览器跟踪URL,即使用户处于私有或隐名模式。 这些数据被发送到阿里巴巴在俄罗斯和新加坡拥有的服务器上,并由小米租用。

小米承认收集数据,如系统信息、首选项、用户界面特性使用、响应能力、性能、内存使用和崩溃报告。 这些都是匿名和聚合的,不能用于识别个人。 小米还承认,收集URL是为了识别加载缓慢的网页,但没有提到它是否也查看用户在搜索引擎网站上搜索的内容。 此外,小米表示,数据收集是在用户同意的情况下进行的,当用户同意在设置小米智能手机时的条款和条件时,用户允许这样做。

该公司进一步证实,它收集使用状态,而在隐姓氏模式,使用状态还包括URL,这是讽刺的,考虑到隐姓氏模式是启用的,因此不收集这些数据。

所以,小奥米发表了一篇博客,我认为它的目的是反驳我自己,@hookgab和@iblametom正在呈现的东西。 https://t.co/b8YH1pa2xo 把它撕下来。

福布斯与另一位网络安全专家安德鲁·蒂尔尼(以别名“Cybergibbons”为例)在推特上给出了一个反对小米回应的概念证明。 虽然其中的大部分太技术性,无法用简单的术语解释,但视频基本上表明,收集到的数据有一个UUID或一个通用的唯一标识符,这很容易让人识别数据来自哪里。

研究人员还声称,小米正在将数据存储在基于俄罗斯和新加坡的国外服务器中。 这些服务器是阿里巴巴所有的,是小米租用的.. 他们在北京注册了网络域名。 此外,研究人员还发现,小米正在使用base64编码,研究人员声称,这种编码可以很容易地在客户端解码,再次有可能揭示个人身份。

“小米拥有一个公共云基础设施的信息,这是业内常见和众所周知的。 我们的海外服务和用户的所有信息都存储在各个海外市场的服务器上,那里严格遵守当地用户隐私保护法律和条例,我们完全遵守这些法律和条例。

事实上,这是许多软件公司的标准做法。 收集汇总和匿名数据是由谷歌和Face book等最大的互联网巨头进行的。 这是一个小米不能独自承担任务的地方。

小米还声称,发送到海外服务器的数据都是匿名的,无法追溯到个人。 然而,研究人员发现,小米正在使用base64编码,这是很容易跟踪的,至少从客户端。

小米的反应并没有真正触及这一部分的说法。 然而,它确实声明他们使用TLS1.2加密标准。 因此,虽然在运输途中拦截数据可能很困难,但没有办法知道一旦数据到达目的地,如何处理数据。

Gabi和其他研究人员发现,MiBrowser和MintBrowser共享的数据都带有特定于单个设备的唯一标识符。 例如,24小时内从同一智能手机发送的两组数据将携带相同的UUID,这再次可能允许服务器客户端识别数据的来源。

“这张截图显示了我们如何创建随机生成的唯一令牌以附加到聚合使用统计数据中的代码,而这些令牌不对应于任何个人。

安德鲁发布的POC视频清楚地表明,UUID对于24小时内发送的数据是相同的,这揭穿了小米使用随机令牌的说法。 他甚至揭穿了小米在Twitter上分享的截图。

他们提出这一点作为证据,证明他们“创造了”不符合任何个人“的随机生成的唯一标记”。 这段代码没有显示这种类型。 pic.twitter.com/B4mkhU7ZKH

小米花了一天时间记下了自己对这个故事的看法,认为福布斯为这个故事所做的研究是有缺陷的。 该公司进一步指出,收集使用数据是一种标准的行业做法。 世界上几乎每个网络浏览器都收集用户数据。 然而,正是小米收集数据的性质正在受到审查。

例如,虽然Chrome和Fire fox已知能够跟踪您访问的URL,但在隐姓氏会话期间收集生成的数据是没有听说过的,也不能被认为是正常的或可以接受的行业实践。

私有模式的存在是为了防止URL列在浏览器历史记录上,并防止插入cookie和其他跟踪器。 包括搜索词更令人震惊。

此外,这证明了数据在传输过程中保持加密,拥有UUID意味着数据可能可以追溯到个人。

小米声称这项研究存在缺陷,但没有用相关证据和指针来证实这一说法,这种反应是不正确的。 鉴于最近的披露,该公司需要清理其数据收集做法。