安全研究人員Andrew Tierney測試了Google Play上的Mi Browser Pro與Mint Browser,發現這兩款小米瀏覽器蒐集傳輸使用者瀏覽資訊,即使沒有登入小米帳號,也啟用無痕瀏覽模式,所查詢的字串與造訪的網址資料也會被紀錄追蹤。(圖片翻攝自:Andrew Tierney,Xiaomi Mint Browser gathers Incognito browsing history on remote servers,https://www.youtube.com/watch?v=1GdKvvG3zoY)

Forbes引用了安全研究人員Gabi Cirlig及Andrew Tierney的調查指出,小米追蹤了手機用戶的各種行為,並把相關數據傳送到各地的伺服器上,甚至是用戶在無痕模式中的瀏覽行為也被追蹤,雖然小米提出了解釋,但研究人員很快就加以反駁。

其中,Cirlig所使用的是Redmi Note 8,他說手機內建的瀏覽器會紀錄他所造訪的所有網站,就算在無痕模式中也一樣,而且手機還會紀錄他所開啟的文件夾及滑動的頁面,並將所有資料都傳送到位於新加坡或俄羅斯、由阿里巴巴代管的小米網域。

Cirlig也下載了其它小米手機所使用的韌體,包括Xiaomi MI 10、Xiaomi Redmi K20與Xiaomi Mi MIX 3等,發現它們都有同樣的行為,揣測這是小米的一致政策。

Tierney則是測試了Google Play上的Mi Browser Pro與Mint Browser,這兩款源自小米的瀏覽器總計達到逾1,500萬次的下載,發現它們同樣也蒐集及傳輸了使用者的瀏覽資訊。

小米在報導曝光的兩天後就發表了聲明,表示該報導為不實陳述,根據小米的說法,在手機上蒐集資訊是為了改善使用經驗,皆取得使用者的明確同意,資料的傳輸都是匿名且加密的,而且這是網路產業非常普遍的作法。

然而,Tierney當天就出面打臉小米。他說,小米的確加密了所傳輸的資料,但採用的是很容易破解的base64,而且小米所傳輸的資料中還包含裝置資訊,搭配瀏覽資料很容易讓使用者的身分曝光。

此外,Tierney也抨擊,他們既未登入小米帳號,也未勾選同步功能,但瀏覽資料一樣被上傳,且就算在Mint Browser啟用無痕模式,所查詢的字串與造訪的網址也會被上傳。


Advertisement

更多 iThome相關內容