獵雲網註:當安全研究員在小米智慧型手機的默認小米瀏覽器上瀏覽網頁時,瀏覽器記錄了他訪問的所有網站,包括谷歌和DuckDuckGo上的搜尋引擎查詢,以及小米新聞饋送功能上查看的所有項目。文章來源:騰訊科技,審校:金鹿。
5月2日,據外媒報導,針對小米始終在從使用其手機和網絡瀏覽器應用的用戶那裡收集私人數據的指控,小米日前發文展開反駁。小米表示,這些研究聲明不夠真實,隱私和安全是該公司重中之重,小米嚴格遵守並完全符合當地關於用戶數據隱私問題的法律法規。
在此之前,《福布斯》(Forbes)雜誌曾發布多名安全研究人員提交的報告,他們聲稱小米正在收集手機用戶的網絡歷史記錄以及電話數據,如「用於識別特定設備和Android版本的唯一號碼」,這些數據可以與使用該設備的人聯繫起來。數據和識別數字相結合可以讓小米將其收集的所有數據與個人聯繫起來,安全研究員加比·西裡格(Gabi Cirlig)表示,這是他的發現中最令人擔憂的方面。
西裡格發現他的Redmi Note 8智慧型手機正在監視他在手機上做的大部分事情,這些數據被發送到阿里巴巴託管的遠程伺服器上,而這些伺服器是由小米租用的。西裡格是一位經驗豐富的網絡安全研究人員,他發現「他的行為被跟蹤的程度令人擔憂,同時各種設備數據也在被收集」。這讓他非常害怕,其身份和私生活可能都已經曝光。
當他在小米智慧型手機的默認小米瀏覽器上瀏覽網頁時,瀏覽器記錄了他訪問的所有網站,包括谷歌和DuckDuckGo上的搜尋引擎查詢,以及小米新聞饋送功能上查看的所有項目。即使在隱姓埋名模式下,西裡格也在被錄音。他的智慧型手機還記錄了「他打開了哪些文件夾,刷到了哪些屏幕,包括狀態欄和設置頁面」。
另一位網絡安全研究員安德魯·蒂爾尼(Andrew Tierney)也對此進行了調查,他發現小米在Google Play上發布的瀏覽器Mi Browser Pro和Mint Browser也在收集同樣的數據。根據Google Play的統計數據,這兩個平臺的下載量加起來超過了1500萬次。西裡格稱這是一個嚴重的隱私問題,而小米則「否認存在問題」。目前,按市場份額計算,小米是世界第四大智慧型手機製造商,僅次於蘋果、三星和華為。
西裡格聲稱,這個問題影響的機型實際上比他測試的機型更多。他下載了其他小米設備的固件,如小米10、紅米K20,小米Mix 3等,並確認它們有相同的瀏覽器代碼。這讓他懷疑它們有同樣的隱私問題。
還有一個問題是「小米如何將數據傳輸到其伺服器」。儘管小米聲稱「為了保護用戶隱私,數據在傳輸時被加密了,但西裡格發現,通過解碼一塊用一種容易破解的編碼(即Base64)隱藏的信息,他能夠迅速看到從他的設備上竊取了什麼。西裡格只花了幾秒鐘就「把亂碼數據變成了可讀的信息塊」。他警告說:「我對隱私的主要擔憂是,發送到他們的伺服器的數據可以非常容易地與特定用戶相關聯。」
西裡格和蒂爾尼都指出,小米不僅僅是將網站或網絡查詢發送到伺服器,還在收集關於這些手機的數據,包括識別特定設備和Android版本的唯一號碼。根據西裡格的說法,這樣的「元數據」很容易與屏幕後面的真人相關。兩人在他們的獨立測試中都發現,無論瀏覽器設置為什麼模式,他們的網絡習慣都會被發送到遠程伺服器,並提供照片和視頻作為證據。
當向小米提供西裡格製作的一段視頻時,視頻顯示「他在谷歌上搜索『色情』和訪問PornHub網站的過程是如何被發送到遠程伺服器上的,即使是在匿名模式下也是如此,小米發言人「繼續否認這些信息被記錄下來」。他們補充說:「這段視頻展示了匿名瀏覽數據的收集,這是網際網路公司通過分析非個人身份信息來改善整體瀏覽器產品體驗的最常用解決方案之一。」
小米回應
針對上述指控,小米表示:「這些研究聲明不夠,隱私和安全是我們的重中之重,我們嚴格遵守並完全符合當地關於用戶數據隱私問題的法律法規。」小米公司的發言人已經證實,該公司「的確在收集瀏覽數據,聲稱這些信息是匿名的,所以不受任何身份的約束」,並表示「用戶已經同意這樣的跟蹤」。
在最新發布的博客文章中,小米列出了許多數據做法,稱它收集的是響應速度和性能等無法用來識別個人身份的匯總使用的統計數據。該公司還表示,如果人們在他們的設置中打開了這項功能,它就會同步網絡瀏覽歷史。它否認有任何不當行為,並表示《福布斯》誤解了其數據隱私原則和政策。
以下為小米博客文章全文:
小米公司希望其用戶在這段困難時期保持安全。昨天發表了一篇關於小米隱私政策的文章,其中對我們的瀏覽器數據收集和存儲流程存在幾個不準確和誤解。我們在下面的備份文檔中提供支持我們立場的重要說明:
小米評論了《福布斯》最近一篇關於我們隱私政策的文章,並認為這篇報導歪曲了事實。在小米,我們用戶的隱私和安全是重中之重。我們嚴格遵守並完全遵守我們運營的國家和地區的用戶隱私保護法律法規。鑑於這些失實陳述,我們想澄清以下幾點:
1.在所有小米正式入駐的全球市場,為了提供儘可能好的用戶體驗,增加作業系統與各種應用之間的兼容性,並承擔保護用戶隱私的義務,所有收集的使用數據都是基於我們用戶明確許可和同意的。此外,我們還確保整個過程是匿名和加密的。匯總使用統計數據的收集用於內部分析,我們不會將任何個人身份信息與這些數據中的任何數據相關聯。此外,這是世界各地的網際網路公司普遍採用的解決方案,以改善各種產品的整體用戶體驗,同時保護用戶隱私和數據安全。
2.小米在公有雲基礎設施上託管信息,該公有雲基礎設施是行業內常見和知名的。我們海外服務和用戶的所有信息都存儲在各個海外市場的伺服器上,這些市場嚴格遵守當地用戶隱私保護法律和法規,我們也完全遵守這些法律和法規。
3.上述文章發表前,記者給我們發了郵件,提出了與文章相關的問題,小米以完全透明的方式做出回應,就我們的技術和隱私政策提供了詳細的解答。我們認為發表的文章沒有準確反映這些通信的內容和事實。在文章發布後,我們聯繫了記者,進一步澄清了這一點,目前正在討論中,目的是迅速向他們保證我們的數據安全流程是如何運作的。
4.作為一家網際網路公司,網絡安全和用戶隱私是小米遵守的核心原則,也是我們日常工作的基礎。我們在用戶隱私保護方面的產品、技術、性能和措施都在不斷完善。在我們最新推出的作業系統MIUI 12中,我們採用了迄今為止業界最嚴格和最透明的隱私保護措施。為了增加透明度,我們始終歡迎公眾以事實為基礎的監督、詢問和討論,以不斷改進我們為親愛的用戶和米粉提供的產品和服務。