「搞机大师兄」专家几秒钟就能破解加密信息,小米多款手机被指收集私密数据

当安全研究员在小米智能手机的默认小米浏览器上浏览网页时 , 浏览器记录了他访问的所有网站 , 包括谷歌和DuckDuckGo上的搜索引擎查询 , 以及小米新闻馈送功能上查看的所有项目 。
「搞机大师兄」专家几秒钟就能破解加密信息,小米多款手机被指收集私密数据
文章图片
据外媒报道 , 针对小米始终在从使用其手机和网络浏览器应用的用户那里收集私人数据的指控 , 小米日前发文展开反驳 。 小米表示 , 这些研究声明不够真实 , 隐私和安全是该公司重中之重 , 小米严格遵守并完全符合当地关于用户数据隐私问题的法律法规 。
在此之前 , 《福布斯》(Forbes)杂志曾发布多名安全研究人员提交的报告 , 他们声称小米正在收集手机用户的网络历史记录以及电话数据 , 如“用于识别特定设备和Android版本的唯一号码” , 这些数据可以与使用该设备的人联系起来 。 数据和识别数字相结合可以让小米将其收集的所有数据与个人联系起来 , 安全研究员加比·西里格(GabiCirlig)表示 , 这是他的发现中最令人担忧的方面 。
【「搞机大师兄」专家几秒钟就能破解加密信息,小米多款手机被指收集私密数据】西里格发现他的RedmiNote8智能手机正在监视他在手机上做的大部分事情 , 这些数据被发送到阿里巴巴托管的远程服务器上 , 而这些服务器是由小米租用的 。 西里格是一位经验丰富的网络安全研究人员 , 他发现“他的行为被跟踪的程度令人担忧 , 同时各种设备数据也在被收集” 。 这让他非常害怕 , 其身份和私生活可能都已经曝光 。
当他在小米智能手机的默认小米浏览器上浏览网页时 , 浏览器记录了他访问的所有网站 , 包括谷歌和DuckDuckGo上的搜索引擎查询 , 以及小米新闻馈送功能上查看的所有项目 。 即使在隐姓埋名模式下 , 西里格也在被录音 。 他的智能手机还记录了“他打开了哪些文件夹 , 刷到了哪些屏幕 , 包括状态栏和设置页面” 。
另一位网络安全研究员安德鲁·蒂尔尼(AndrewTierney)也对此进行了调查 , 他发现小米在GooglePlay上发布的浏览器MiBrowserPro和MintBrowser也在收集同样的数据 。 根据GooglePlay的统计数据 , 这两个平台的下载量加起来超过了1500万次 。 西里格称这是一个严重的隐私问题 , 而小米则“否认存在问题” 。 目前 , 按市场份额计算 , 小米是世界第四大智能手机制造商 , 仅次于苹果、三星和华为 。
西里格声称 , 这个问题影响的机型实际上比他测试的机型更多 。 他下载了其他小米设备的固件 , 如小米10、红米K20 , 小米Mix3等 , 并确认它们有相同的浏览器代码 。 这让他怀疑它们有同样的隐私问题 。
还有一个问题是“小米如何将数据传输到其服务器” 。 尽管小米声称“为了保护用户隐私 , 数据在传输时被加密了 , 但西里格发现 , 通过解码一块用一种容易破解的编码(即Base64)隐藏的信息 , 他能够迅速看到从他的设备上窃取了什么 。 西里格只花了几秒钟就“把乱码数据变成了可读的信息块” 。 他警告说:“我对隐私的主要担忧是 , 发送到他们的服务器的数据可以非常容易地与特定用户相关联 。 ”
西里格和蒂尔尼都指出 , 小米不仅仅是将网站或网络查询发送到服务器 , 还在收集关于这些手机的数据 , 包括识别特定设备和Android版本的唯一号码 。 根据西里格的说法 , 这样的“元数据”很容易与屏幕后面的真人相关 。 两人在他们的独立测试中都发现 , 无论浏览器设置为什么模式 , 他们的网络习惯都会被发送到远程服务器 , 并提供照片和视频作为证据 。
当向小米提供西里格制作的一段视频时 , 视频显示“他在谷歌上搜索‘色情’和访问PornHub网站的过程是如何被发送到远程服务器上的 , 即使是在匿名模式下也是如此 , 小米发言人“继续否认这些信息被记录下来” 。 他们补充说:“这段视频展示了匿名浏览数据的收集 , 这是互联网公司通过分析非个人身份信息来改善整体浏览器产品体验的最常用解决方案之一 。 ”