قبل يومين ، نشرت مجلة فوربس قصة رئيسية حول كيفية جمع Xiaomi لبيانات المتصفح بما في ذلك عناوين URL التي زارها مستخدمو Mi. في حين أن جمع البيانات أمر شائع بين معظم المتصفحات في السوق اليوم ، فقد أبرز التقرير أنه تم تتبع مصطلحات البحث وعناوين URL حتى في وضع التصفح المتخفي المعروف أيضًا باسم المتصفح.
في وقت سابق اليوم ، نشرت Xiaomi مدونة ردًا على هذه القصة ، موضحة جانبها من القصة. يمكنك قراءة ردهم الرسمي من هنا.
لفهم أفضل لما يحدث في هذه القصة ، قمت بتلخيص جميع الاتهامات والردود على كل منهم. سأضيف أيضًا ما قاله الباحث أندرو تيرني عن كل من الردود.
النتيجة 1:
وجد Gabriel Cîrlig (كان أول من وجد ذلك وشرحه في قصة Forbes) أن متصفح Mi Xiaomi ومتصفح Mint قاما بتتبع جميع مواقع الويب التي زارها مستخدم Mi بما في ذلك مصطلحات البحث على كل من Google و DuckDuckGo. كان التتبع سائدًا حتى عندما تم تعيين المتصفح على الوضع الخاص أو وضع التصفح المتخفي. كما تعقب الهاتف بيانات الاستخدام وأعادها إلى خوادم Xiaomi.
رد Xiaomi:
تعترف Xiaomi بجمع بيانات المستخدم مثل "معلومات النظام والتفضيلات واستخدام ميزات واجهة المستخدم والاستجابة والأداء واستخدام الذاكرة وتقارير الأعطال".
لا يذكر صراحة مصطلحات البحث ولكنه يضيف أنه يجمع عناوين URL – "يتم جمع عنوان URL لتحديد صفحات الويب التي يتم تحميلها ببطء ؛ وهذا يعطينا نظرة ثاقبة حول أفضل طريقة لتحسين أداء التصفح بشكل عام. "
أضاف Xiaomi أيضًا أنه يجمع بيانات التصفح فقط عندما يقوم المستخدم بتسجيل الدخول إلى حساب Mi الخاص به ويتم تشغيل إعداد Sync.
أكدت شركة Xiaomi أيضًا أنها تجمع بيانات إحصائيات المستخدم حتى في وضع التصفح المتخفي. هذا أمر مثير للدهشة نظرًا لأن عناوين URL هي أيضًا جزء من بيانات إحصائيات المستخدم (كما أكدها بيانها الرسمي).
بالإضافة إلى البيان الرسمي من Mi Blog ، قال الرئيس التنفيذي لشركة Xiaomi India في مقطع فيديو خاص اليوم أن Xiaomi تجمع البيانات التي وافق عليها المستخدمون أيضًا. وشدد أيضًا على أن البيانات التي يتم جمعها في وضع التصفح المتخفي "مشفرة ومجهولة المصدر". يمكنك مشاهدة الفيديو أدناه (بعض الأجزاء باللغة الهندية لكنه شرحه باللغة الإنجليزية أيضًا).
رد الباحث:
حسنًا ، لم يكن أندرو تيرني مقتنعًا برد فعل Xiaomi.
أولاً ، لقد قمت أنا والعديد من الآخرين بإعادة تأكيد النتائج اليوم عبر أجهزة متعددة. ليس هناك شك في أن متصفح Mint يرسل مصطلحات البحث وعناوين URL أثناء وضع التصفح المتخفي.
– سايبرجيبونز (سيبرجيبونز) 1 مايو 2020
بينما نفى Xiaomi جمع بيانات المستخدم في وضع التصفح المتخفي ، أطلق أندرو مقطع فيديو جديدًا قبل بضع دقائق فقط يوضح كيف كان متصفح Xiaomi Mint يجمع بيانات المستخدم المهمة ، حتى في الوضع الخاص. من المثير للاهتمام رؤيته هنا هو أن البيانات التي تم جمعها تحتوي على معرف فريد عالمي (UUID) لا يتغير ، على الأقل لمدة 24 ساعة. لذلك يمكن تتبع البيانات التي تم جمعها وإرسالها إلى الخوادم إلى مستخدم فردي.
النتيجة 2:
تم إرسال بيانات مستخدم Mi إلى خوادم بعيدة في دول مثل سنغافورة وروسيا ، مع تسجيل نطاقات الويب في بكين.
رد Xiaomi:
"تستضيف Xiaomi معلومات حول البنية التحتية السحابية العامة الشائعة والمعروفة في الصناعة. يتم تخزين جميع المعلومات من خدماتنا والمستخدمين في الخارج على خوادم في مختلف الأسواق الخارجية حيث يتم الالتزام الصارم بقوانين ولوائح حماية خصوصية المستخدم المحلي والتي نلتزم بها بالكامل.
قال الرئيس التنفيذي لشركة Xiaomi India أيضًا في مقطع الفيديو الخاص به أن "جميع البيانات من مستخدمي Mi في الهند لا تزال في الخوادم الهندية".
اختيار المحرر: MIUI 12 يمكن أن يكون آخر تحديث رئيسي لـ Mi 6 و Mi 6X و Mi Note 3 و Mi Mix 2 و Redmi Note 5
النتيجة 3:
تم ترميز بيانات المستخدم المرسلة إلى الخوادم باستخدام base64 – والتي يمكن تتبعها بسهولة. لذا يمكن قراءة البيانات ، على الأقل من جانب العميل.
رد Xiaomi:
حسنًا ، لم تلمس Xiaomi هذه النقطة حقًا في مشاركة مدونتها. لم يذكر أن البيانات المرسلة مشفرة باستخدام تشفير TLS 1.2. لذلك ، لا يمكن اعتراض البيانات التي يتم نقلها. لكن الشركة لم تتحدث عن ترميز base64 للبيانات من جانب العميل.
توضح هذه الصورة التي تشاركها Xiaomi أن البيانات الإحصائية للاستخدام يتم نقلها باستخدام بروتوكول HTTPS لتشفير TLS 1.2.
رد الباحث:
حسنًا ، إنها TLS 1.2. على الأقل بعض العشوائية لا يمكن اعتراضها.
لا أعتقد أن هذا كان محل نزاع. هذا هو تشفير النقل إلى الخوادم ، وإرسال البيانات التي لم أوافق على إرسالها. pic.twitter.com/sENH5OhEzN
– سايبرجيبونز (سيبرجيبونز) 1 مايو 2020
النتيجة 4:
بيانات المستخدم التي تم جمعها لم تكن مجهولة. وجد غابي وباحثون آخرون أن بيانات المستخدم المرسلة إلى خوادم Xiaomi يمكن تحديدها لمستخدم معين لأنه يحتوي على UUID معين (معرف فريد عالميًا).
رد Xiaomi:
"تعرض لقطة الشاشة هذه رمزًا لكيفية إنشاء رموز مميزة فريدة يتم إنشاؤها عشوائيًا لإلحاقها بتجميع إحصائيات الاستخدام ، ولا تتطابق هذه الرموز المميزة مع أي فرد."
رد الباحث:
حسنًا ، كشف فيديو أندرو التجريبي أن بياناته التي جمعها المتصفح تم تعيين UUID محدد لجميع البيانات التي يتم إرسالها لأكثر من 24 ساعة. لم يقتنع بالصورة التي استخدمتها Xiaomi لإظهار البيانات مجهولة المصدر.
أنا مهتم بشكل خاص لأن هذا هو رمز ما بعد التشويش – يظهر c.b وما إلى ذلك أن هذا ليس مصدرًا خامًا.
لماذا هذا؟
ولكن ، أكثر من ذلك ، فإن تسمية UUID "مجهول" لا يجعلها مجهولة.
– سايبرجيبونز (سيبرجيبونز) 1 مايو 2020
خذنا:
يجمع كل متصفح في العالم تقريبًا بيانات المستخدم. قد يقيد البعض ذلك لتقارير الأعطال بينما يمكن أن تكون المتصفحات الأخرى أكثر اجتياحًا بعض الشيء وتجمع بيانات الاستخدام أيضًا.
على الرغم من أننا لسنا متأكدين من مقدار البيانات التي تجمعها المتصفحات مثل Google Chrome وفايرفوكس ، فإننا نعلم أن جمع مصطلحات البحث وعناوين URL ، حتى في وضع التصفح المتخفي ليس أمرًا طبيعيًا.
يوجد وضع التصفح الخاص أو وضع التصفح المتخفي على وجه التحديد لتجنب التتبع. ويوضح مقطع الفيديو التوضيحي لـ Andrew بوضوح مقدار البيانات التي يتم إرسالها إلى خوادم Xiaomi والتي تتضمن مصطلحات البحث وعناوين URL في وضع التصفح المتخفي. تدعي Xiaomi أن هذه البيانات مجهولة المصدر (ربما على جانب الخادم) ولكنها تحتاج إلى الخروج وشرح هذه العملية بالتفصيل.
شددت بيانات Xiaomi الرسمية على أنها لا تجمع سوى البيانات التي وافق عليها المستخدم. لذا تحتاج الشركة أيضًا إلى توضيح ما إذا كانت سياسات الخصوصية وجمع البيانات الخاصة بهم تتضمن جمع مصطلحات البحث وبيانات المستخدم الأخرى حتى في وضع التصفح المتخفي.
استدعاء هذا التقرير باسم أخبار مزيفة ليست الاستجابة الأفضل حقًا. يجب على Xiaomi التقدم ودحض كل النتائج التي توصل إليها الباحثان. إذا كانت Xiaomi غير قادرة على القيام بذلك ، فيجب على الشركة توضيح نفسها ومراجعة سياسات جمع البيانات الخاصة بها في أقرب وقت ممكن.
