“这是一个有手机功能的后门,”Gabi Cirlig在谈到他的新小米手机时打趣说。他只是半开玩笑。
Cirlig在发现他的Redmi Note 8智能手机正在监视他在手机上做的大部分事情后,接受了福布斯的采访。然后,这些数据被发送到另一家中国科技巨头阿里巴巴托管的远程服务器,这些服务器表面上是小米租用的。
这位经验丰富的网络安全研究人员发现,他的行为被跟踪的数量令人担忧,同时各种设备数据也在被窃取,这让Cirlig惊恐地发现,他的身份和私生活正被这家中国公司曝光。
当他在设备默认的小米浏览器上浏览网页时,浏览器记录了他访问过的所有网站,包括搜索引擎查询,无论是使用谷歌还是关注隐私的DuckDuckGo,以及在小米软件的新闻馈送功能上查看的每一项内容。即使他使用了所谓的隐私“隐姓埋名”模式,这种追踪似乎也在进行。
该设备还记录了他打开了哪些文件夹,刷到了哪些屏幕,包括状态栏和设置页面。所有的数据都被打包并发送到新加坡和俄罗斯的远程服务器,尽管他们托管的网站域名是在北京注册的。
与此同时,应福布斯的要求,网络安全研究员安德鲁·蒂尔尼(Andrew Tierney)进行了进一步调查。他还发现,小米在Google Play上出厂的浏览器-小米浏览器专业版(Mi Browser Pro)和薄荷浏览器(Mint Browser)-也在收集同样的数据。根据Google Play的统计数据,它们总共有超过1500万次的下载量。
更多的数百万人可能会受到Cirlig所说的严重隐私问题的影响,尽管小米否认存在问题。小米的估值为500亿美元,按市场份额计算是全球前四大智能手机制造商之一,仅次于苹果、三星和华为。小米最大的卖点是拥有许多与高端智能手机相同质量的廉价设备。但对于客户来说,这种低成本可能会带来高昂的代价:他们的隐私。
Cirlig认为,这些问题影响的模型比他测试的模型多得多。他下载了其他小米手机的固件-包括小米MI10,小米Redmi K20和小米Mix3设备。然后他证实他们有相同的浏览器代码,这让他怀疑他们有同样的隐私问题。
而且,小米将数据传输到服务器的方式似乎存在问题。尽管这家中国公司声称,为了保护用户隐私,这些数据在传输时是加密的,但Cirlig发现,通过解码用一种名为Base64的容易破解的编码形式隐藏的信息块,他能够快速看到从他的设备中窃取了什么。Cirlig只用了几秒钟就把乱码的数据变成了可读的数据块……。
Cirlig警告说:“我对隐私的主要担忧是,发送到他们的服务器的数据可以非常容易地与特定用户相关联。”
作为对调查结果的回应,小米表示,“研究声明是不真实的”,“隐私和安全是最受关注的”,并补充说,它“严格遵守并完全符合当地关于用户数据隐私问题的法律法规”。但一位发言人证实,该公司正在收集浏览数据,声称这些信息是匿名的,因此与任何身份无关。他们说,用户已经同意这样的跟踪。
但是,正如Cirlig和Tierney所指出的,发送到服务器的不仅仅是网站或Web搜索。小米还在收集有关这款手机的数据,包括识别特定设备和Android版本的唯一号码。Cirlig说,这样的“元数据”可以“很容易地与屏幕后面的真人相关”。
小米的发言人也否认浏览数据是在隐姓埋名模式下记录的。然而,Cirlig和Tierney在他们的独立测试中都发现,无论浏览器设置为什么模式,他们的网络习惯都会被发送到远程服务器,并提供照片和视频作为证据。
当福布斯向小米提供Cirlig制作的一段视频时,视频显示了他在谷歌上搜索“色情”和访问PornHub网站的过程如何被发送到远程服务器,即使在匿名模式下也是如此,该公司发言人继续否认这些信息被记录下来。“这段视频展示了匿名浏览数据的收集,这是互联网公司通过分析来改善整体浏览器产品体验的最常用的解决方案之一……。
Cirlig和Tierney都表示,小米的行为比谷歌Chrome或Apple Safari等其他浏览器更具侵入性。“它比我见过的任何主流浏览器都差得多,”蒂尔尼说。“他们中的许多人接受分析,但它是关于使用率和崩溃的。在没有明确同意的情况下,在私人浏览模式下采取包括URL在内的浏览器行为,这是最糟糕的做法。
绕圈