侵犯私隱! 小米裝置記錄用家瀏覽資料, 上傳至中國伺服器

小米裝置記錄用家瀏覽資料

小米裝置被揭發會記錄用家使用情況,並將資料上傳至中國伺服器。這些記錄資料包括網上搜尋, 到訪網站,就算無痕模式下亦會被記錄,而用家界面上的操控以至裝罝的資料都會同樣上傳至中國伺服器。

無痕模式, 畫面操作都被記錄
美國福布斯雜誌報道揭發小米裝置會將大量用家的使用裝置的資料記錄,並上傳至中國伺服器內。報道引述從事網絡安全的 Gabriel Cirlig 指出他使用 Redmi Note 8 預設小米瀏覽器,到訪過的網站, 不論是使用 Google 還是 DuckDuckGo 搜尋器上搜尋的字串都會被記錄和上傳,就算他開啟了無痕模式 Incognito 情況亦一樣。上傳的資料全部沒有加密,只是以簡單的 base64 編碼作上傳。

Cirlig 更進一步發現,不單是小米瀏覽器,就連在 Redmi Note 8 開啟資料夾,撥動屏幕以至開啟設定頁面等操作情況都會被記錄再上傳至伺服器。Cirlig 亦發現其他小米裝置 Xiaomi MI 10, Xiaomi Redmi K20 和 Xiaomi Mi MIX 3 內都有著相同的瀏覽器程式碼,估計會有相同的私隱問題。

福布斯訪問從事 Cybersecurity 研究的 Andrew Tierney,他亦指出在 Google Play 上兩款小米瀏覽器 Mi Browser Pro 和 Mint Browser 有相同的情況,都會收集用家的灠覽資料。Cirlig 和 Andrew Tierney 兩人都指出,小米裝置除了收集瀏覽資料外,亦會一併收集裝置的資料包括裝置識別碼,即是話有可能將這些搜尋資料成功聯繫至某一裝置,從而識別出搜尋資料的當事人。

下面的 Youtube 可以看到小米裝置記錄上傳用家的搜尋資料情況。畫面右邊是小米裝置畫面,左邊就列出小米裝置上傳出去的記錄。在小米裝置開啟 Browser 無痕模式再進行搜尋,就會看到搜尋記錄被上傳出去,而上傳的資料只是以 base64 編碼,只要簡單 decode 就可以還原看到上傳的所有資料。

Source: Forbes