Оффлайн
- Регистрация
- 12.04.17
- Сообщения
- 19.095
- Реакции
- 107
- Репутация
- 0
Xiaomi следит за пользователями и отправляет данные в Россию
05.05.2020, Вт, 10:07, Мск , Текст: Роман Георгиев
Эксперты обнаружили весьма инвазивное поведение браузеров Mi и Mint, поставляемых с мобильными устройствами Xiaomi. Они собирают достаточно данных, чтобы идентифицировать личность пользователя, едва шифруют эти данные и отправляют их на серверы, располагающиеся в Сингапуре и России, говорят исследователи. В Xiaomi почти всё отрицают.
Вы так говорите, будто это что-то плохое
Браузеры, поставляемые вместе со смартфонами Xiaomi, собирают и отправляют на удалённые серверы избыточное количество информации о пользователе и его устройстве, выяснили эксперты по информационной безопасности.
Поведение браузеров Mi Browser Pro и Mint Browser настолько инвазивно, что один из исследователей назвал устройства Xiaomi «бэкдорами с функцией телефона», и это лишь отчасти является шуткой. Xiaomi заявляет, что никакой проблемы не существует.
Эксперт по имени Габи Сёрлиг (Gabi Cirlig) обнаружил, что браузер сохраняет список всех веб-сайтов, которые он посетил; всех запросов к поисковикам - Google И DuckDuckGo, а также всех новостей, прочитанных с помощью встроенных инструментов Xiaomi. Отслеживание действий пользователя осуществляется вне зависимости от того, включён в браузере режим инкогнито или нет.
Мало того, устройство запоминает информацию о том, какие папки на запоминающем устройстве пользователь открывал и на какие экраны переходил.
Эти данные пересылаются на серверы, физически расположенные в Сингапуре и в России, хотя официально они зарегистрированы в Пекине, где располагается штаб-квартира корпорации.
Смартфоны Xiaomi собирают достаточно данных, чтобы идентифицировать личность пользователя, и отправляют их на серверы в Сингапуре и России
Как выяснил Сёрлиг, все эти данные шифруются лишь очень слабым алгоритмом base64. При желании не составит никакого труда расшифровать их: у Сёрлига ушло несколько секунд, чтобы привести данные в человекочитаемый вид.
По словам исследователя, главной проблемой в данном случае является возможность проассоциировать собранные данные с конкретными пользователями. Ни о какой приватности и анонимизации речи идти не может.
Всё это совсем не правда
Выводы Сёрлига подтверждают и другие эксперты по безопасности. И несмотря на то, что сбор сведений и возможность их дешифровки были задокументированы, представители Xiaomi отрицают какое-либо нарушение приватности своих клиентов, утверждают, что все данные анонимизированы, а все выводы экспертов не соответствуют действительности.
Сам факт сбора данных из браузера в Xiaomi, однако, признали.
По данным Forbes, избыточный сбор данных, скорее всего, осуществляется в том числе для исследования поведения пользователей: Xiaomi пользуется услугами китайской компании Sensors Analytics. Она известна прежде всего платформой поведенческой аналитики, которая помогает клиентам компании «исследовать сюжеты, скрытые за индикаторами ключевых паттернов поведения различных бизнесов». Сёрлиг и его коллега Эндрю Тайрни (Andrew Tierney) выяснили, что данные из браузеров Xiaomi направляются на домены, так или иначе связанные с Sensors Analytics - прямо или косвенно.
Однако представители Xiaomi отрицают, что данные, собранные с браузеров, передаются в Sensors Analytics или в любую другую стороннюю компанию.
3 мая 2020 г., впрочем, Xiaomi объявила, что со следующим обновлениям пользователям браузеров будет предоставлена возможность полностью отключать сбор и пересылку данных о посещении веб-страниц.
«Поскольку устройства Xiaomi весьма дёшевы по сравнению со смартфонами других производителей с аналогичными характеристиками, их популярность стабильно высока; при этом за разницу в цене пользователям приходится иной раз расплачиваться компрометацией своих личных данных, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Пока самый очевидный выход - не использовать собственные браузеры Xioami. Альтернатив, в том числе, снабжённых средствами анонимизации трафика, к счастью, предостаточно».
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
05.05.2020, Вт, 10:07, Мск , Текст: Роман Георгиев
Эксперты обнаружили весьма инвазивное поведение браузеров Mi и Mint, поставляемых с мобильными устройствами Xiaomi. Они собирают достаточно данных, чтобы идентифицировать личность пользователя, едва шифруют эти данные и отправляют их на серверы, располагающиеся в Сингапуре и России, говорят исследователи. В Xiaomi почти всё отрицают.
Вы так говорите, будто это что-то плохое
Браузеры, поставляемые вместе со смартфонами Xiaomi, собирают и отправляют на удалённые серверы избыточное количество информации о пользователе и его устройстве, выяснили эксперты по информационной безопасности.
Поведение браузеров Mi Browser Pro и Mint Browser настолько инвазивно, что один из исследователей назвал устройства Xiaomi «бэкдорами с функцией телефона», и это лишь отчасти является шуткой. Xiaomi заявляет, что никакой проблемы не существует.
Эксперт по имени Габи Сёрлиг (Gabi Cirlig) обнаружил, что браузер сохраняет список всех веб-сайтов, которые он посетил; всех запросов к поисковикам - Google И DuckDuckGo, а также всех новостей, прочитанных с помощью встроенных инструментов Xiaomi. Отслеживание действий пользователя осуществляется вне зависимости от того, включён в браузере режим инкогнито или нет.
Мало того, устройство запоминает информацию о том, какие папки на запоминающем устройстве пользователь открывал и на какие экраны переходил.
Эти данные пересылаются на серверы, физически расположенные в Сингапуре и в России, хотя официально они зарегистрированы в Пекине, где располагается штаб-квартира корпорации.
Смартфоны Xiaomi собирают достаточно данных, чтобы идентифицировать личность пользователя, и отправляют их на серверы в Сингапуре и России
Как выяснил Сёрлиг, все эти данные шифруются лишь очень слабым алгоритмом base64. При желании не составит никакого труда расшифровать их: у Сёрлига ушло несколько секунд, чтобы привести данные в человекочитаемый вид.
По словам исследователя, главной проблемой в данном случае является возможность проассоциировать собранные данные с конкретными пользователями. Ни о какой приватности и анонимизации речи идти не может.
Всё это совсем не правда
Выводы Сёрлига подтверждают и другие эксперты по безопасности. И несмотря на то, что сбор сведений и возможность их дешифровки были задокументированы, представители Xiaomi отрицают какое-либо нарушение приватности своих клиентов, утверждают, что все данные анонимизированы, а все выводы экспертов не соответствуют действительности.
Сам факт сбора данных из браузера в Xiaomi, однако, признали.
По данным Forbes, избыточный сбор данных, скорее всего, осуществляется в том числе для исследования поведения пользователей: Xiaomi пользуется услугами китайской компании Sensors Analytics. Она известна прежде всего платформой поведенческой аналитики, которая помогает клиентам компании «исследовать сюжеты, скрытые за индикаторами ключевых паттернов поведения различных бизнесов». Сёрлиг и его коллега Эндрю Тайрни (Andrew Tierney) выяснили, что данные из браузеров Xiaomi направляются на домены, так или иначе связанные с Sensors Analytics - прямо или косвенно.
Однако представители Xiaomi отрицают, что данные, собранные с браузеров, передаются в Sensors Analytics или в любую другую стороннюю компанию.
3 мая 2020 г., впрочем, Xiaomi объявила, что со следующим обновлениям пользователям браузеров будет предоставлена возможность полностью отключать сбор и пересылку данных о посещении веб-страниц.
«Поскольку устройства Xiaomi весьма дёшевы по сравнению со смартфонами других производителей с аналогичными характеристиками, их популярность стабильно высока; при этом за разницу в цене пользователям приходится иной раз расплачиваться компрометацией своих личных данных, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Пока самый очевидный выход - не использовать собственные браузеры Xioami. Альтернатив, в том числе, снабжённых средствами анонимизации трафика, к счастью, предостаточно».
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links