更新1(2020年5月1日@美国东部时间下午03:36):小米发布了一篇博客文章回应这些指控。向下滚动查看更新。最初的故事发布于2020年5月1日美国东部时间上午6点18分,如下所示。
小米智能手机被一致认为是市场上任何时候都能买到的最划算的产品之一。这些手机以非常有利可图的价位包装了一些疯狂的硬件,特别是在低端智能手机市场,这些手机提出了许多人无法拒绝的报价。小米也接受了开发者社区的需求,做出了一些决定,比如允许Bootloader解锁,而不牺牲制造商的保修-这是一个组合……。
然而,安全研究人员最近的报告指出,在小米的网络浏览器上观察到了一个令人担忧的隐私问题。福布斯网络安全撰稿人兼副主编托马斯·布鲁斯特(Thomas Brewster)与网络安全研究人员加布里埃尔·切尔利格(Gabriel Cirlig)和安德鲁·蒂尔尼(Andrew Tierney)最近在一份报告中得出结论,小米的各种网络浏览器正在向远程服务器发送数据。他们声称,正在发送的数据包括所有访问过的网站的历史记录,包括URL、所有搜索引擎查询,以及.。
这一数据收集似乎发生在MIUI上预装的股票浏览器以及Mi Browser Pro和Mint Browser上,这两款浏览器都可以通过Google Play商店下载。这些浏览器在Play Store上的下载量总计超过1500万次,而所有小米设备上都预装了库存浏览器。接受测试的设备包括小米Redmi Note 8、小米A1、小米10、小米Redmi K20和小米Mix3。小米……之间没有区别。
小米的回应是,似乎确认它正在收集的浏览数据完全符合当地关于用户数据隐私问题的法律法规。收集的信息是用户同意的,并且是匿名的。然而,该公司否认了研究中的说法。
这段视频展示了匿名浏览数据的收集,这是互联网公司通过分析非个人身份信息来改善整体浏览器产品体验的最常用解决方案之一。
然而,研究人员发现这种匿名的说法是可疑的。小米正在发送的数据诚然是“加密的”,但它是用Base64编码的,很容易解码。由于浏览数据可以以相当琐碎的方式解码,并且由于收集的数据还包含设备元数据,因此该浏览数据似乎可以与各个用户的动作相关联,而无需付出大量的努力。
此外,研究人员发现,小米浏览器正在ping与Sensors Analytics相关的域名,Sensors Analytics是一家中国初创公司,也被称为Sensors Data,以提供行为分析服务而闻名。浏览器还包含一个名为SensorDataAPI的API。在传感器数据网站上,小米也被列为客户。
虽然Sensors Analytics为小米提供了数据分析解决方案,但收集到的匿名数据存储在小米自己的服务器上,不会与Sensors Analytics或任何其他第三方公司共享。
研究人员对小米的否认做出了回应,进一步证明了他们的数据收集做法。
有了手头的信息,这些浏览器的运行方式似乎确实存在一个令人担忧的隐私问题。我们已经联系了小米,要求对这些说法发表进一步评论。
在Mi.com的一篇官方博客文章中,小米强烈否认了有关他们侵犯用户隐私的指控。
“小米读到福布斯最近的这篇文章很失望。我们觉得他们误解了我们就数据隐私原则和政策所沟通的内容。我们用户的隐私和互联网安全是小米的头等大事;我们有信心严格遵守并完全遵守当地法律法规。我们已经与“福布斯”联系,澄清这一令人遗憾的误解。“。
该公司确认,他们收集“聚合使用统计数据”,其中包括“系统信息、首选项、用户界面功能使用情况、响应速度、性能、内存使用情况和崩溃报告”。他们表示,这些信息“不能单独用来识别任何个人”。他们确认URL已被收集,但这样做是为了“识别加载速度慢的网页”,这样他们就可以搞清楚“如何最好地提高整体浏览性能”。
接下来,该公司表示,个人浏览数据历史记录是同步的,但这只在“用户在小米账号…上登录”时才会同步。并且在设置下将数据同步功能设置为‘开’。“。他们否认当用户启用隐姓埋名模式时,除了前述的聚合使用统计数据之外,正在同步浏览数据。
然后,小米从他们的一个浏览器上发布了代码片段的屏幕截图