小米多款手机被指CBA官方公布了2020年CBA全明星赛票选结果:易建联和林书豪分获南北区票王监控用户、搜集私密数据,小米均否认

  • A+
所属分类:博雅场馆app
摘要

獵雲網註:當安全研究員在小米智能手機的默認小米瀏覽器上瀏覽網頁時,瀏覽器記錄瞭他訪問的所有網站,包括谷歌和DuckDuckGo上的搜索引擎查詢,以及小米新聞饋送

小米多款手机被指CBA官方公布了2020年CBA全明星赛票选结果:易建联和林书豪分获南北区票王监控用户、搜集私密数据,小米均否认

獵雲網註:當安全研究員在小米智能手機的默許小米閱讀器上閱讀網頁時,閱讀器記錄瞭他訪問的所有網站,包括谷歌和DuckDuckGo上的搜索引擎查詢,和小米新聞饋送功能上查看的所有項目。文章來源:騰訊科技,審校:金鹿。

5月2日,據外媒報導,針對小米始終在從使用其手機和網絡閱讀器利用的用戶那裡搜集私人數據的指控,小米日前發文展開反駁。小米表示,這些研究聲明不夠真實,隱私和安全是該公司重中之重,小米嚴格遵照並完全符合當地關於用戶數據隱私問題的法律法規。

在此之前,《福佈斯》(Forbes)雜志曾發佈多名安全研究人員提交的報告,他們聲“我想給他很多贊美。我從小就很敬佩他,現在我能夠在替補席上現場看他比賽,我覺得非常滿足。”稱小米正在搜集手機用戶的網絡歷史記錄和電話數據,如“用於辨認特定裝備和Android版本的唯1號碼”,這些數據可以與使用該裝備的人聯系起來。數據和辨認數字相結合可讓小米將其搜集的所有數據與個人聯系起來,安全研究員加比·西裡格(Gabi Cirlig)表示,這是他的發現中最使人耽憂的方面。

西裡格發現他的Redmi Note 8智能手機正在監視他在手機上做的大部份事情,這些數據被發送到阿裡巴巴托管的遠程服務器上,而這些服務器是由小米租用的。西裡格是1位經驗豐富的網絡安全研究人員,他發現“他的行動被跟蹤的程度使人耽憂,同時各種裝備數據也在被搜集”。這讓他非常懼怕,其身份和私生活可能都已暴光。

當他在小米智能手機的默許小米閱讀器上閱讀網頁時,閱讀器記錄瞭他訪問的所有網站,包括谷歌和DuckDuckGo上的搜索引擎查詢,和小米新聞饋送功能上查看的所有項目。即便在隱姓埋名模式下,西裡格也在被錄音。他的智能手機還記錄瞭“他打開瞭哪些文件夾,刷到瞭哪些屏幕,包括狀態欄和設置頁面”。

另外一位網絡安全研究員安德魯·蒂爾尼(Andrew Tierney)也對此進行瞭調查,他發現小米在Google Play上發佈的閱讀器Mi 昨天,9月1日結束瞭季後賽半決賽的比賽,RNG戰隊3:1克服瞭TES戰隊,成功升級進入LPL賽區夏季賽的總決賽,9月6日,RNG將於FPX進行夏季總決賽的爭取,誰將獲得今年夏季賽的冠軍呢?目前RNG以積分的優勢,成為LPL賽區第2支進入全球總決賽的戰隊,大傢1起期待RNG和FPX的精彩表現吧,另外一支戰隊將在以後的冒泡賽中產生哦!目前各賽區的比賽也都進入尾聲,截止目前為止,1共有12支戰隊順利升級今年的全球總決賽,1起來看看目前的升級情況吧!Browser Pro和Mint Browser也在搜集一樣的數據。根據Google Play的統計數據,這兩個平臺的下載量加起來超過瞭1500萬次。西裡格稱這是1個嚴重的隱私問題,而小米則“否認存在問題”。目前,按市場份額計算,小米是世界第4大智能手機制造商,僅次於蘋果、3星和華為。

西裡格宣稱,這個問題影響的機型實際上比他測試的機型更多。他下載瞭其他小米裝備的固件,如小米10、紅米K20,小米Mix 3等,並確認它們有相同的閱讀器代碼。這讓他懷疑它們有一樣的隱私問題。

還有1個問題是“小米如何將數據傳輸到其服務器”。雖然小米宣稱“為瞭保護用戶隱私,數據在傳輸時被加密瞭,但西裡格發現,通過解碼1塊用1種容易破解的編碼(即Base64)隱藏的信息,他能夠迅速看到從他的裝備上盜取瞭甚麼。西裡格隻花瞭幾秒鐘就“把亂碼數據變成瞭可讀的信息塊”。他正告說:“我對隱私的主要耽憂是,發送到他們的服務器的數據可以非常容易地與特定用戶相幹聯。”

西裡格和蒂爾尼都指出,小米不單單是將網站或網絡查詢發送到服務器,還在搜集關於這些手機的數據,包括辨認特定裝備和Android版本的唯1號碼。根據西裡格的說法,這樣的“元數據”很容易與屏幕後面的真人相幹。兩人在他們的獨立測試中都發現,不管閱讀器設置為何模式,他們的網絡習慣都會被發送到遠程服務器,並提供照片和視頻作為證據。

當向小米提供西裡格制作的1段視頻時,視頻顯示“他在谷歌上搜索‘色情’和訪問PornHub網站的進程是如何被發送到遠程服務器上的,即便是在匿名模式下也是如此,小米發言人“繼續否認這些信息被記錄下來”。他們補充說:“這段視頻展現瞭匿名閱讀數據的搜集,這是互聯網公日前,中國棒球協會第8屆全國委員會2019年年度會議在浙江嘉興舉行。回顧過去的1年,剛剛實體化改革的中國棒球協會在過去1年來的工作中,獲得瞭諸多突破,也實現瞭多方面的第1次。其中,國傢棒球隊第1次取得瞭奧運會資歷賽資歷。司通過分析非個人身份信息來改良整體閱讀器產品體驗的最經常使用解決方案之1。”

小米回應

針對上述指控,小米表示:“這些研究聲明不夠,隱私和安全是我們的重中之重,我們嚴格遵照並完全符合當地關於用戶數據隱私問題的法律法規。”小米公司的發言人已證實,該公司“的確在搜集閱讀數據,宣稱這些信息是匿名的,所以不受任何身份的束縛”,並表示“用戶已同意這樣的跟蹤”。

在最新發佈的博客文章中,小米列出瞭許多數據做法,稱它搜集的是響應速度和性能等沒法用來辨認個人身份的匯總使用的統計數據。該公司還表示,如果人們在他們的設置中打開瞭這項功能,它就會同步網絡閱讀歷史。它否認有任何不當行動,並表示《福佈斯》誤解瞭其數據隱私原則和政策。

以下為小米博客文章全文:

小米公司希望其用戶在這段困難時期保持安全。昨天發表瞭1篇關於小米隱私政策的文章,其中對我們的閱讀器數據搜集和存儲流程存在幾個不準確和誤解。我們在下面的備份文檔中提供支持我們立場的重要說明:

小米評論瞭《福佈斯》最近1篇關於我們隱私政策的文章,並認為這篇報導曲解瞭事實。在小米,我們用戶的隱私和安全是重中之重。我們嚴格遵照並完全遵照我們運營的國傢和地區的用戶隱私保護法律法規。鑒於這些失實陳說,我們想澄清以下幾點:

1.在所有小米正式入駐的全球市場,為瞭提供盡量好的用戶體驗,增加操作系統與各種利用之間的兼容性,並承當保護用戶隱私的義務,所有搜集的使用數據都是基於我們用戶明確許可和同意的。另外,我們還確保全部進程是匿名和加密的。匯總使用統計數據的搜集用於內部份析,我們不會將任何個人身份信息與這些數據中的任何數據相幹聯。另外,這是世界各地的互聯網公司普遍采取的解決方案,以改良各種產品的整體用戶體驗,同時保護用戶隱私和數據安全。

2.小米在公有雲基礎設施上托管信息,該公有雲基礎設施是行業內常見和知名的。我們海外服務和用戶的所有信息都存儲在各個海外市場的服務器上,這些市場嚴格遵照當地用戶隱私保護法律和法規,我們也完全遵照這些法律和法規。

3.上述文章發表前,記者給我們發瞭郵件,提出瞭與文章相幹的問題,小米以完全透明的方式做出回應,就我們的技術和隱私政策提供瞭詳細的解答。我們認為發表的文章沒有準確反應這些通訊的內容和事實。在文章發佈後,我們聯系瞭記者,進1步澄清瞭這1點,目前正在討論中,目的是迅速向他們保證我們的數據安全流程是如何運作的。

4.作為1傢互聯網公司,網絡安全和用戶隱私是小米遵照的核心原則,也是我們平常工作的基礎。我們在用戶隱私保護方面的產品、技術、性能和措施都在不斷完善。在我們最新推出的操作系統MIUI 12中,我們采取瞭迄今為止業界最嚴格和最透明的隱私保護措施。為瞭增加透明度,我們始終歡迎公眾以事實為基礎的監督、詢問和討論,以不斷改進我們為親愛的用戶和米粉提供的產品和服務。