小米记录数百万人“私密”的使用信息:数据被上传至阿里云服务器

研究人员认为,小米侵犯人们的隐私,但该公司否认有任何不法行为。
28709-o3b1gzwisdq.png
小米记录数百万人“私密”的使用信息:数据被上传至阿里云服务器

Cirlig发现其红米Note 8智能手机注视他在手机上所做的许多操作后接受了《福布斯》杂志的访谈。

这些数据随后被发送到阿里云的服务器上,这些服务器名义上是小米租用的。
87222-zex2n5y6jj.png
小米记录数百万人“私密”的使用信息:数据被上传至阿里云服务器

这位经验丰富的网络安全研究员发现,他在手机上的大量行为被跟踪,同时各种设备数据也被收集起来,这让Cirlig惊恐万分:因为他的身份及私人生活暴露在这家公司面前。

他在该设备默认的小米浏览器上浏览网页时,该设备记录下了他访问过的所有信息,包括使用谷歌或注重隐私的DuckDuckGo进行的搜索引擎查询,以及在小米软件的新闻源功能上查看的每项产品。

即使他使用了所谓私密的“隐身”模式,似乎仍会出现这种跟踪行为。
93750-nz41jcends.png
小米记录数百万人“私密”的使用信息:数据被上传至阿里云服务器

该设备还记录了他打开过哪些文件夹以及滑过哪些屏幕,包括状态栏和设置页面。所有数据都被打包起来,被发送到远在新加坡和俄罗斯的服务器。

同时,应《福布斯》的要求,网络安全研究人员Andrew Tierney作了进一步的调查。他也发现小米在Google Play上发布的浏览器(Mi Browser Pro和Mint Browser)在收集同样的数据。据Google Play的统计数字显示,小米浏览器的下载量共超过1500万人次。

更多数百万的人可能受到Cirlig所说的严重隐私问题的影响,不过小米否认存在问题。小米估值高达500亿美元,是全球市场份额前四大智能手机制造商之一,仅次于苹果、三星和华为。小米最大的卖点是设备便宜,却拥有与高端智能手机一样的许多品质。

Cirlig认为,这个问题影响小米的众多机型,不止他测试的一款机型。他下载了其他小米手机的固件,包括小米MI 10、小米红米K20和小米MIX 3等设备。然后,他确认它们有同样的浏览器代码,从而使他怀疑它们有同样的隐私问题。

小米将数据传输到其服务器的方式似乎存在着问题。虽然小米声称数据在传输时经过加密以保护用户隐私,但Cirlig发现,他可以通过解码使用一种易于破解的编码技术(名为base64)隐藏起来的大量信息,快速查看从其设备获取的信息。Cirlig只花了几秒钟的时间就将乱码的数据变成了可读的信息块。

Cirlig警告:“我在隐私方面主要担心的是,发送到小米服务器的数据很容易与特定的用户关联起来。”小米的回应

小米在回应调查结果时说:“研究人员的说法并不属实,隐私和安全是头等大事。我们严格遵守,并完全符合用户数据隐私问题方面的地方法律法规。”但公司发言人证实,小米确实在收集浏览数据,声称这些信息经过匿名化处理,因此与任何身份没有关联。小米称,用户同意这种跟踪行为。

但是正如Cirlig和Tierney所指出,发送到服务器的不仅仅是网站或网络搜索内容。小米还在收集有关手机的数据,包括用于识别特定设备和Android版本的独特编号。Cirlig表示,这类“元数据很容易与屏幕后面实际的人关联起来。”

小米发言人还否认浏览数据是在隐身模式下记录的。然而,Cirlig和Tierney都在独立测试中发现,无论浏览器被设置成哪种模式,他们的互联网使用习惯都被发送到远程服务器,他俩提供了照片和视频作为证据。

《福布斯》向小米提供了Cirlig拍摄的视频,视频显示:即使在隐身模式下,他在谷歌上搜索“色情”以及访问PornHub网站的信息也被发送到远程服务器,但小米发言人继续否认信息被记录下来。发言人补充说:“该视频显示了收集匿名的浏览数据,这是互联网公司通过分析非个人身份信息来改善整体浏览器产品体验所采用的最常见的解决办法之一。”

Cirlig和Tierney都表示,小米的行为比Google Chrome或Apple Safari等其他浏览器更侵犯隐私。Tierney说:“它比我见过的任何主流浏览器都糟糕得多。许多主流浏览器都使用分析技术,但主要涉及使用和崩溃。未经明确同意并以私密浏览模式跟踪浏览器行为(包括URL)确实糟糕极了。”

Cirlig还怀疑小米在监视他使用应用程序的情况,因为每当他打开某个应用程序,大量信息会发送到远程服务器。另一位测试过小米设备的研究人员表示,他见过这家厂商的手机收集这类数据。

小米没有正面回应这个问题。

“行为分析”

据《福布斯》报道称,小米收集数据似乎还有另一个原因:更深入地了解用户的行为。它使用一家行为分析公司神策数据(Sensors Analytics)的服务。自2015年创办以来,该公司已融资6000万美元,最近在纽约私募股权公司华平投资公司(Warburg Pincus)领投、红杉资本中国参投的一轮融资中筹资4000万美元。正如专门跟踪分析公司融资的Pitchbook所述,神策数据“提供深入全面的用户行为分析平台和专业咨询服务”。它的工具可以帮助客户“探索一系列指标背后隐藏的故事,以探究不同公司的关键行为。”

Cirlig和Tierney都发现,他们的小米应用程序将数据发送到似乎提到神策数据的域名,包括重复使用SA(“神策数据”的缩写)。点击其中一个域名后,页面含有一句话:“神策数据准备接收你的数据!”有一个API名为SensorDataAPI——API(应用编程接口)是允许第三方访问应用程序数据的软件。小米在神策数据的网站上也被列为是其客户。

神策数据的创始人兼首席执行官桑文峰曾任职百度8年时间,构建了百度用户日志大数据平台。

小米的发言人证实了与这家初创公司的关系:“虽然神策数据为小米提供数据分析解决方案,但收集的匿名数据存储在小米自己的服务器上,不会与神策数据共享,也不会与其他任何第三方公司共享。”

据《福布斯》报道,猎豹移动开发的一款带有“私密”浏览器的安全应用程序被发现在收集有关互联网使用、Wi-Fi接入点名称以及更细化的数据(如用户在访问的网页上如何滚动浏览)方面的信息。猎豹声称,它需要收集信息以保护用户,并改善体验。
Cirlig在研究过程中还发现,手机上的小米音乐播放器应用程序在收集有关其收听习惯的信息:播放什么歌曲以及何时播放。
这向研究人员清楚地传达了信息:你在听歌时,小米也在监听。

华盟知识星球入口
私密(1)数据上传(1)小米(2)阿里云(5)
本文来源 云头条,由 congtou 整理编辑,其版权均为 云头条 所有,文章内容系作者个人观点。如需转载,请注明文章来源。

本文经授权后发布,本文观点不代表立场,转载请联系原作者。
网络赌博遇上“黑吃黑” “黑客”竟是00后
« 上一篇 05-06
聊聊最近几款非常流行的勒索病毒
下一篇 » 05-06

相关推荐

Joomla漏洞总结

以下文章来源于黑白天 ,作者kevinJoomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现漏洞描述Joomla是一套内容管理系统,是使用P...

新秀红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

新秀渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...