محققان شیائومی را به جمع آوری داده های مرور از مرورگرهای خود مقصر می دانند

گزارش‌های اخیر محققان امنیتی به یک مسئله نگران‌کننده حفظ حریم خصوصی اشاره می‌کند که در مرورگرها مشاهده شده است (مرورگر وب) توسط شیائومی در اینترنت.

Ο همکار و نویسنده فوربس توماس بروستر ، همراه با محققان خود امنیت سایبری گابریل سیرلیگ و اندرو تیرنی، آنها نتیجه گرفتند به تازگی در گزارشی، که مرورگرهای وب مختلف شیائومی داده ها را به سرورهای راه دور ارسال می کنند.

آنها ادعا می‌کنند که داده‌های ارسال شده حاوی تاریخچه همه وب‌سایت‌هایی است که بازدید کرده‌اند، از جمله نشانی‌های اینترنتی، تمام درخواست‌هایی که به موتورهای جستجو کرده‌اند و تمام اطلاعات نمایش داده‌شده در فید خبری شیائومی، همراه با داده‌های متا دستگاه. چیزی که بیش از همه نگران کننده است این است که این داده ها جمع آوری می شوند حتی اگر به نظر می رسد که در حال مرور با عملکرد آن فعال هستید."مرور ناشناس - ناشناس".

به نظر می رسد این جمع آوری داده ها هم در مرورگر از پیش نصب شده در MIUI و هم در داخل انجام می شود مرورگر Mi Mi Pro و مرورگر نعناع ، که هر دو برای دانلود در دسترس هستند بازی فروشگاه گوگل. این مرورگرها روی هم در مجموع بیش از 15 میلیون دانلود در پلی استور دارند، در حالی که مرورگر اصلی روی همه دستگاه های شیائومی از قبل بارگذاری شده است.

دستگاه های تست شده شامل Redmi Note 8، Mi A1، Mi 10، Redmi K20 و Mi Mix 3. هیچ تمایزی بین آنها وجود نداشت Android One دستگاه های مجهز به شیائومی و MIUI، به عنوان جمع آوری داده ها در مرورگر پیش فرض به اشتراک گذاشته می شود. بنابراین، به نظر نمی‌رسد که این مشکل صرفاً بر روی MIUI متمرکز باشد، بلکه به این بستگی دارد که آیا از هر یک از سه مرورگر ذکر شده در بالا در دستگاه خود استفاده می‌کنید یا خیر، و این مستقل از سیستم عامل اصلی است که دستگاه شما در آن اجرا می‌شود (MIUI یا اندروید وان). سایر مرورگرهای شناخته شده مانند گوگل کروم و اپل سافاری، داده های بسیار کمتری را جمع آوری می کند که عمدتاً به گزارش های مشکل مربوط می شود.

Η Xiaomi با تأیید اینکه داده‌های مروری که جمع‌آوری می‌کند کاملاً با قوانین و مقررات محلی در مورد مسائل مربوط به حریم خصوصی داده‌های کاربر مطابقت دارد، پاسخ داد. اطلاعات جمع آوری شده با رضایت کاربر و ناشناس است. با این حال، این شرکت ادعاهای تحقیقات را رد کرد و گفت….

با این حال، محققان دریافتند که این ادعای ناشناس بودن نادرست است، زیرا داده های ارسال شده توسط شیائومی "رمزگذاری شده" بود، اما به شکل کدگذاری شده بود. پایه 64، که به راحتی قابل رمزگشایی است. از آنجایی که داده‌های مرور را می‌توان به راحتی رمزگشایی کرد، و از آنجایی که داده‌های جمع‌آوری‌شده حاوی اطلاعات متا دستگاه‌ها نیز بود، به نظر می‌رسد که این داده‌های مرور می‌تواند نسبتاً به راحتی با اقدامات تک تک کاربران مرتبط باشد.

علاوه بر این، محققان دریافتند که مرورگرهای شیائومی این کار را انجام داده اند پینگ در سرورهای مربوط به تجزیه و تحلیل حسگرها، یک شرکت استارت آپی چینی که به نام سنسورهای دادهکه به ارائه خدمات تحلیل رفتاری معروف است. مرورگرها همچنین حاوی یک API به نام بودند SensorDataAPI. شیائومی همچنین به عنوان مشتری به وب سایت داده های سنسور .

شیائومی به گزارش او پاسخ داد فوربس انکار جنبه های مختلف نشریات:

بازرسان دوباره به امتناع شیائومی با شواهد بیشتری مبنی بر رویه جمع‌آوری داده‌های شرکت پاسخ دادند.

در اینجا درخواست ارائه شده است.

به عنوان دستور curl در pastebin.https://t.co/44pCpBtQzD pic.twitter.com/Uj2bZZH5Pl

- Cybergibbons (@ cybergibbons) آوریل 30، 2020

با اطلاعاتی که تاکنون در دسترس است، به نظر می رسد یک مسئله نگران کننده در مورد حریم خصوصی و نحوه کار این مرورگرها وجود دارد. ما انتظار داریم که شیائومی پاسخ های جدیدی در مورد کل این موضوع بدهد.

منبع