猎云网注:当安全研究员在小米智能手机的默认小米浏览器上浏览网页时,浏览器记录了他访问的所有网站,包括谷歌和DuckDuckGo上的搜索引擎查询,以及小米新闻馈送功能上查看的所有项目。文章来源:腾讯科技,审校:金鹿。
5月2日,据外媒报道,针对小米始终在从使用其手机和网络浏览器应用的用户那里收集私人数据的指控,小米日前发文展开反驳。小米表示,这些研究声明不够真实,隐私和安全是该公司重中之重,小米严格遵守并完全符合当地关于用户数据隐私问题的法律法规。
在此之前,《福布斯》(Forbes)杂志曾发布多名安全研究人员提交的报告,他们声称小米正在收集手机用户的网络历史记录以及电话数据,如“用于识别特定设备和Android版本的唯一号码”,这些数据可以与使用该设备的人联系起来。数据和识别数字相结合可以让小米将其收集的所有数据与个人联系起来,安全研究员加比·西里格(Gabi Cirlig)表示,这是他的发现中最令人担忧的方面。
西里格发现他的Redmi Note 8智能手机正在监视他在手机上做的大部分事情,这些数据被发送到阿里巴巴托管的远程服务器上,而这些服务器是由小米租用的。西里格是一位经验丰富的网络安全研究人员,他发现“他的行为被跟踪的程度令人担忧,同时各种设备数据也在被收集”。这让他非常害怕,其身份和私生活可能都已经曝光。
当他在小米智能手机的默认小米浏览器上浏览网页时,浏览器记录了他访问的所有网站,包括谷歌和DuckDuckGo上的搜索引擎查询,以及小米新闻馈送功能上查看的所有项目。即使在隐姓埋名模式下,西里格也在被录音。他的智能手机还记录了“他打开了哪些文件夹,刷到了哪些屏幕,包括状态栏和设置页面”。
另一位网络安全研究员安德鲁·蒂尔尼(Andrew Tierney)也对此进行了调查,他发现小米在Google Play上发布的浏览器Mi Browser Pro和Mint Browser也在收集同样的数据。根据Google Play的统计数据,这两个平台的下载量加起来超过了1500万次。西里格称这是一个严重的隐私问题,而小米则“否认存在问题”。目前,按市场份额计算,小米是世界第四大智能手机制造商,仅次于苹果、三星和华为。
西里格声称,这个问题影响的机型实际上比他测试的机型更多。他下载了其他小米设备的固件,如小米10、红米K20,小米Mix 3等,并确认它们有相同的浏览器代码。这让他怀疑它们有同样的隐私问题。
还有一个问题是“小米如何将数据传输到其服务器”。尽管小米声称“为了保护用户隐私,数据在传输时被加密了,但西里格发现,通过解码一块用一种容易破解的编码(即Base64)隐藏的信息,他能够迅速看到从他的设备上窃取了什么。西里格只花了几秒钟就“把乱码数据变成了可读的信息块”。他警告说:“我对隐私的主要担忧是,发送到他们的服务器的数据可以非常容易地与特定用户相关联。”
西里格和蒂尔尼都指出,小米不仅仅是将网站或网络查询发送到服务器,还在收集关于这些手机的数据,包括识别特定设备和Android版本的唯一号码。根据西里格的说法,这样的“元数据”很容易与屏幕后面的真人相关。两人在他们的独立测试中都发现,无论浏览器设置为什么模式,他们的网络习惯都会被发送到远程服务器,并提供照片和视频作为证据。
当向小米提供西里格制作的一段视频时,视频显示“他在谷歌上搜索‘色情’和访问PornHub网站的过程是如何被发送到远程服务器上的,即使是在匿名模式下也是如此,小米发言人“继续否认这些信息被记录下来”。他们补充说:“这段视频展示了匿名浏览数据的收集,这是互联网公司通过分析非个人身份信息来改善整体浏览器产品体验的最常用解决方案之一。”
小米回应
针对上述指控,小米表示:“这些研究声明不够,隐私和安全是我们的重中之重,我们严格遵守并完全符合当地关于用户数据隐私问题的法律法规。”小米公司的发言人已经证实,该公司“的确在收集浏览数据,声称这些信息是匿名的,所以不受任何身份的约束”,并表示“用户已经同意这样的跟踪”。
在最新发布的博客文章中,小米列出了许多数据做法,称它收集的是响应速度和性能等无法用来识别个人身份的汇总使用的统计数据。该公司还表示,如果人们在他们的设置中打开了这项功能,它就会同步网络浏览历史。它否认有任何不当行为,并表示《福布斯》误解了其数据隐私原则和政策。
以下为小米博客文章全文:
小米公司希望其用户在这段困难时期保持安全。昨天发表了一篇关于小米隐私政策的文章,其中对我们的浏览器数据收集和存储流程存在几个不准确和误解。我们在下面的备份文档中提供支持我们立场的重要说明:
小米评论了《福布斯》最近一篇关于我们隐私政策的文章,并认为这篇报道歪曲了事实。在小米,我们用户的隐私和安全是重中之重。我们严格遵守并完全遵守我们运营的国家和地区的用户隐私保护法律法规。鉴于这些失实陈述,我们想澄清以下几点:
1.在所有小米正式入驻的全球市场,为了提供尽可能好的用户体验,增加操作系统与各种应用之间的兼容性,并承担保护用户隐私的义务,所有收集的使用数据都是基于我们用户明确许可和同意的。此外,我们还确保整个过程是匿名和加密的。汇总使用统计数据的收集用于内部分析,我们不会将任何个人身份信息与这些数据中的任何数据相关联。此外,这是世界各地的互联网公司普遍采用的解决方案,以改善各种产品的整体用户体验,同时保护用户隐私和数据安全。
2.小米在公有云基础设施上托管信息,该公有云基础设施是行业内常见和知名的。我们海外服务和用户的所有信息都存储在各个海外市场的服务器上,这些市场严格遵守当地用户隐私保护法律和法规,我们也完全遵守这些法律和法规。
3.上述文章发表前,记者给我们发了邮件,提出了与文章相关的问题,小米以完全透明的方式做出回应,就我们的技术和隐私政策提供了详细的解答。我们认为发表的文章没有准确反映这些通信的内容和事实。在文章发布后,我们联系了记者,进一步澄清了这一点,目前正在讨论中,目的是迅速向他们保证我们的数据安全流程是如何运作的。
4.作为一家互联网公司,网络安全和用户隐私是小米遵守的核心原则,也是我们日常工作的基础。我们在用户隐私保护方面的产品、技术、性能和措施都在不断完善。在我们最新推出的操作系统MIUI 12中,我们采用了迄今为止业界最严格和最透明的隐私保护措施。为了增加透明度,我们始终欢迎公众以事实为基础的监督、询问和讨论,以不断改进我们为亲爱的用户和米粉提供的产品和服务。