Xiaomi
A Xiaomi okostelefonok kiterjedten gyűjtötték a felhasználói adatokat. Sőt, mindent nyomon követnek és az Alibaba által Szingapúrban és Oroszországban üzemeltetett szerverekre küldenek. A Xiaomi bérli ezeket a szervereket, és teljes hozzáféréssel rendelkezik hozzájuk. Miután az ilyen jelentések megjelentek és széles körben elterjedtek a Xiaomi legfontosabb piacain, a kínai okostelefon-óriás közleményt adott ki, amely megpróbálja tisztázni, hogy miért és hogyan hasznosítják az összegyűjtött adatokat.
Állítólag a Xiaomi okostelefonjai - az almárkától függetlenül - hatalmas mennyiségű felhasználói adatot gyűjtöttek be. Érdekes módon a Xiaomi nem cáfolta az állításokat, és elfogadta, hogy androidos okostelefonjai valóban gyűjtenek felhasználói adatokat és információkat. Azonban, a hivatalos Xiaomi blog blogbejegyzésén keresztül , a vállalat részletes magyarázatot kínált a Xiaomi teljes hozzáféréssel rendelkező szerverekbe áramló adatok módszereire, feldolgozási technikáira és felhasználására.
A Xiaomi gyűjti és betakarítja a felhasználói adatokat, de anonimizálja ugyanezt az Analytics és a szolgáltatás fejlesztése szempontjából?
Gabi Cirlig biztonsági kutató meglehetősen aggasztóan állította, hogy az általa használt Xiaomi márkájú eszköz követte a használati szokásokat, és minden adatot állítólag a szingapúri és oroszországi Alibaba által üzemeltetett szervereknek küldtek, amelyeket a Xiaomi bérelt. A Xiaomi által gyűjtött adatok mennyisége, gyakorisága és terjedelme még aggasztóbb volt.
Cirlig szerint az összegyűjtött adatok között voltak olyan mappák, amelyeket a telefonján nyitott meg, a képernyők, amelyekre ellopott, beleértve az állapotsort, és a beállítások menü. A Xiaomi még azt is nyomon követte, hogy Cirlig milyen zenét hallgat az alapértelmezett zenelejátszóval a Redmi telefonján. A biztonsági kutató azt is állította, hogy valahányszor a weben böngészett a Xiaomi alapértelmezett böngészőalkalmazásával, nyilvántartást vezetett az összes felkeresett webhelyről, a keresőmotoros lekérdezésekről és a böngésző hírcsatornájában megtekintett elemekről.
Nos, nem meglepő módon a Xiaomi azt állítja, hogy tévedünk, ha böngészőik inkognitómódban küldik az összes adatot.
Tehát itt vannak a bizonyítékok.
Az első alkalmazás az „Mint Browser” volt. Tegnap a Play Áruházból szerezték be. https://t.co/GJedDen5B1 pic.twitter.com/lYzQdCzAwX
- Cybergibbons (@cybergibbons) 2020. április 30
Ez egyébként nem tűnik elszigetelt esetnek. Andrew Tierney másik biztonsági kutató ugyanezt a viselkedést fedezte fel a Xiaomi Mi Browser Pro és Mint Mintás böngészőjében. Mindkét böngésző ingyenesen letölthető és használható az Android Google Play Áruházában.
A nagy technológiai, közösségi média- és okostelefon-vállalatok felhasználói adatgyűjtési gyakorlatai széles körben ismertek. A biztonsági kutatók azonban kiegészítették az adatgyűjtési politikák mértékét. Cirlig azt állította, hogy a Xiaomi invazív adatgyűjtése akkor is folytatódott, ha inkognitó módot használt a böngészőben.
A Xiaomi hivatalos blogjában azt állította, hogy alaposan titkosítja az adatokat. Cirlig azonban azt állította, hogy könnyen képes dekódolni és olvasható információkat találni belőle. Érdekes módon van egy videó, amely állítólag feltárja az adatok kitettségét.
Visszaél a Xiaomi a felhasználó által gyűjtött adatokkal?
A Xiaomi hivatalosan elfogadta, hogy androidos okostelefonjai valóban gyűjtenek felhasználói adatokat. A vállalat azonban hangsúlyozta, hogy ehhez minden szükséges releváns és szükséges óvintézkedések a felhasználók magánéletének biztosítása érdekében. A vállalat hozzátette, hogy az adatok egyetlen szakaszban sem fedik fel a felhasználói identitást, sem a tényleges adatokat nem kapcsolják a felhasználóhoz. Ezenkívül a Xiaomi hozzátette, hogy összegyűjti, tárolja és feldolgozza az adatokat az „Ipari Szabványok” szerint, amely magában foglalja a felhasználói adatok anonimizálását és titkosítását minden szakaszban.
A hivatalos Mi weboldalon tárolt blogbejegyzésében a Xiaomi megpróbálta elmagyarázni, hogyan gyűjti, tárolja, dolgozza fel és elemzi az adatokat. A Xiaomi a kezdetek kezdetén tisztázza, hogy felhasználói adatokat gyűjt, hogy „a lehető legjobb felhasználói élményt nyújtsa, növelje az operációs rendszer és a különböző alkalmazások közötti kompatibilitást”. A vállalat hozzátette, hogy az adatok gyűjtése előtt biztosítja a megfelelő engedélyeket és a felhasználói hozzájárulást. Más szóval, a Xiaomi azt állítja, hogy az összes adatgyűjtési irányelv gyakorlatot maguk a végfelhasználók engedélyezik.
A Xiaomi nemrég egy blogbejegyzést tett közzé válaszul a @iblametom és @cybergibbons https://t.co/Iqw5ipIYcu
Kontextus: https://t.co/CXBXP5eCwL
- Mishaal Rahman (@MishaalRahman) 2020. május 1
Ipari gyakorlatként kétféle adatot különböztetnek meg a Xiaomi szerverei. Az adatokat, például a rendszerinformációkat, a beállításokat, a felhasználói felület funkcióinak használatát, az érzékenységet, a teljesítményt, a memóriahasználatot és az összeomlási jelentéseket összesítik és anonimizálják. Ez biztosítja, hogy a harmadik féltől származó alkalmazások, fejlesztők vagy rosszindulatú szoftver-készítők nem tudják összekapcsolni az adatokat az egyes felhasználókkal, még akkor sem, ha valamilyen módon hozzáférnek hozzájuk. A második típusú adat magában foglalja az egyén felhasználó böngészési adatait (előzményeket), amelyeket a felhasználó összekapcsol egy Mi-fiókkal. Ezeket az adatokat is biztonságos titkosítási gyakorlatokkal gyűjtik és tárolják - biztosította a Xiaomi.
Xiaomi nyilatkozata: https://t.co/TPlD8OIhB3
A felhasználók valóban tájékozott módon járultak hozzá? Kétlem. Ezenkívül az, hogy „nem kötünk személyi azonosításra alkalmas információkat ezekhez az adatokhoz”, nem sokat mond, mindaddig, amíg nem hozzák nyilvánosságra a személyazonosító okok definícióját. pic.twitter.com/r61CC71xBC
- Wolfie Christl (@WolfieChristl) 2020. május 1
Ami a hozzáférést illeti, A Xiaomi azt állította, hogy négy igazolást szerzett követik a Xiaomi okostelefonjának és alapértelmezett alkalmazásainak biztonsági és adatvédelmi gyakorlatát. Ezek az ISO27001: 2013, ISO27018: 2014, ISO29151: 2017 és a TRUSTe.
A Xiaomi együttműködött a kínai induló Sensors Analytics céggel. A vállalat azt állítja, hogy „alapos felhasználói viselkedéselemző platformot és professzionális tanácsadási szolgáltatásokat nyújt”. A Xiaomi megerősítette, hogy együttműködik a céggel. A vállalat azonban azt állította, hogy az összes összegyűjtött adatot saját szerverein tárolják, és azokat nem osztják meg harmadik féltől származó társaságokkal.
Címkék Xiaomi
