דיווח: שיאומי אוספת נתוני גלישה של משתמשים, כן, גם כשאתם באינקוגניטו
חוקר אבטחה גילה שהמכשיר שלו שולח קצת יותר מדי מידע לשרתים במדינות מרוחקות. בשיאומי לא מכחישים וטוענים שהחברה ”ממלאת אחר החוקים והרגולציות בנושא פרטיות המידע של משתמשים”
צילום: גיקטיים
שיאומי הסינית הפכה בשנים האחרונות לאחת מהשחקניות החזקות ביותר בשוק הסלולר. למען האמת, על פי הדו”חות האחרונים, היא כבשה בסערה את המקום ה-3 בטבלת יצרניות הסמארטפונים. בדרך כלל, שיאומי יודעת לספק תמורה הולמת למחירים נמוכים ביחס לשחקניות האחרות, אבל דיווח חדש עלול לעורר חשש אצל חלק מהמשתמשים, ולאשש מעט תיאוריות קונספירציה אצל אחרים.
כל נתוני הגלישה עוברים לשרתים ברוסיה וסינגפור
הדיווח של פורבס עוסק בחוקר אבטחה בשם גבריאל קירליג, אשר השתמש במכשיר ה-Redmi Note 8 שלו, כאשר הוא גילה שחלק מהאפליקציות שמותקנות בו עוקבות אחרי השימוש שלו, לעיתים במידה יחסית קיצונית. כאשר הוא בדק את דפדפן ברירת המחדל של שיאומי, גילה קריליג כי הדפדפן מתעד את כל האתרים אליהם גלש, את כל השאילתות למנועי החיפוש (גם אם הם של גוגל ואפילו של DuckDuckGo, מנוע החיפוש ששם דגש על פרטיות), ועוד פרטים נוספים. כל זאת, אפילו כאשר הוא גלש במצב גלישה בסתר (Incognito).
קירליג ניסה “ללכוד” את המידע המוצפן בדרכו לשרתים, והצליח לפענח אותו בקלות. זאת מאחר שהקידוד הנבחר הינו base64, שנחשב קל לפיצוח. לאחר כמה שניות הצליח קירליג לקרוא את כל המידע אשר נשלח מהמכשיר שלו אל השרתים, מה שגורם לו לחשוש ששחקנים רעים אחרים יכולים ללכוד את המידע הזה בקלות, ולשייך אותו למשתמשים ספציפיים. המידע מהדפדפן, ומידע נוסף אודות השימוש במכשיר, נשלח לשרתים מרוחקים בסינגפור וברוסיה דרך דומיינים שנרשמו בסין. חוקר אבטחה נענה לבקשת פורבס לבדוק את הנושא, וגילה כי דפדפן Mi וגם דפדפן Mint אספו את אותו המידע. לשני הדפדפנים ישנן יותר מ-15 מיליון הורדות לפי Google Play. עוד גילה קריליג כי אפילו נגן המוזיקה של שיאומי שולח מידע אודות השירים שהתנגנו.
שיאומי טוענת: כל המידע שנאסף הוא אנונימי
בתגובה לדיווח, שיאומי דחתה את כל הטענות וטענה שהיא “ממלאת אחר החוקים והרגולציות בנושא פרטיות המידע של משתמשים”. דובר מטעם החברה אישר כי שיאומי אכן אוספת מידע מהדפדפן שלה, אך הוא לא יכול להיות משויך לשום משתמש, וכי משתמשים צריכים לאשר באופן מפורש את איסוף המידע. עם זאת, קריליג טוען כי חלק מהמידע שנשלח לשרתים כולל גם מספרים מזהים ייחודיים של המכשירים. עוד דחתה שיאומי את הטענה כי מידע נאסף גם בעת שימוש במצב גלישה בסתר, אך קריליג והחוקר הנוסף תיעדו את שליחת המידע בסרטונים ובתמונות.
כל המידע המדווח לטענת קריליג, נשלח לחברה סינית לניתוח התנהגות משתמשים בשם Sensors Analytics. שיאומי אישרה את הקשר בינה לבין החברה, אך טוענת כי המידע הנאסף נשמר בשרתיה ולא מועבר לחברת הייעוץ או כל חברת צד שלישי אחרת.
יש לציין שכמעט כל דפדפן אוסף מידע אודות הרגלי השימוש של המשתמשים, אך לרוב מדובר במידע כמו לוגים לאחר קריסות “לשם שיפור השירות”, זאת בניגוד למידע שנאסף על פי הדיווח שכולל בין היתר גם את כל הכתובות אליהן גלש המשתמש, גם כאשר הוא לא מעוניין שיעקבו אחריו. שיאומי טוענת כי גם הסרטונים של קריליג מציגים איסוף של מידע אנונימי, וכי מדובר בפתרון שאומץ על ידי חברות אינטרנט שרוצות לשפר את חוויות המוצר שלהן על ידי איסוף וניתוח של מידע בלתי ניתן לשיוך ללקוח.
קריליג הוריד גם את ה-Firmware של מכשירי שיאומי אחרים כמו Mi 10, Redmi K20 וה-Mi Mix 3, וטען שכל המכשירים מכילים את אותו קוד המקור בדפדפן, מה שלטענתו אומר שגם הם שולחים את אותם הנתונים שהוא גילה על מכשיר ה-Redmi Note 8 שלו.
לאחר כמה ימים של לחץ, שיאומי שיחררה היום (א’) הודעה רשמית בה היא טוענת כי בגירסה הבאה של Mint ו-Mi Browser היא תוסיף אפשרות למשתמשים שלא ירצו שמידע ייאסף אודותיהם כאשר הם במצב גלישה בסתר. כמו כן, החברה ממשיכה לטעון כי כל המידע שנאסף ונשלח לחברה הוא אנונימי ולא ניתן לקישור לשום זהות שהיא.
עידן בן טובים
נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה
הגב
23 תגובות על "דיווח: שיאומי אוספת נתוני גלישה של משתמשים, כן, גם כשאתם באינקוגניטו"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
השאלה אם משתמשים בדפדפן אחר, ישנה גם העברת נתונים אל שיאומי?
הטלפונים שלהם זולים יחסית.. אני ישר איך שקונה.. מתקין עליו רום נקי סטייל Lineageos וביי הריגול הזה שלהם.. מנסה לשמור על הטלפון.. אז האיום של הסרת אחריות לא מרגש אותי יותר מידי.
איזה גבר אתה. אפשר סלפי איתך?
ובנימה יותר רצינית.. לרוב המכשירים הסינים אין רום בהתחלה. אלו שכן יש אלו מכשירי דגל וגם עולים קצת יותר..
אם זה מגן באופן מלא ? לא יכול להיות העברת מידע ברמה של תכנות מחדש של שבב התקשורת ?
אכן כן, זה לא מגן ב 100%. כיום המודם של המכשיר הוא התקן עצמאי עם באס ישיר לזיכרון מעבד וכו ויכול לשלוח להם מידע בלי בעיות. זה דבר שניתן לנטר רק בציוד תקשורת סלולרי.
זו הסיבה לקיום פרוייקטים כמו librem ו pinephone
על שיאומי אי אפשר להתקין ישר רום אחר,הגאונים חסמו את המכשיר ורק לאחר שאתה שולח להם בקשה ועוברות שבועיים, אתה יכול להסיר את הנעילה.
אפשר להשתמש ברום שלהם, לעשות רוט ולהסיר את כל האפליקציות של שיאומי,
בדקתי לאחר הסרה עם פיירוול, לא מגיע אליהם מידע.
אלא אם תחדשו לי
המודם הוא צ’יפ בפני עצמו עם באס למעבד והזיכרון ויכול לשלוח על רשת סלולרית מידע בלי לעבוד דרך מערכת ההפעלה או נתב ה wifi. זה ניתן לבדיקה רק עם ציוד לניטור תקשורת סלולר
Base64 זה לא הצפנה, רק קידוד של נתונים. ולא מאובטח בשום דרך.
חחח באתי להגיד את זה גם. מאכזב שעיתון טכנולוגי לא דואג שהכתבים שלו יודעים להבדיל בין קידוד להצפנה…
מי אמר שקידוד זה לא הצפנה?!
תעיינו בערך קוד/קידוד במילון.
הנחת עבודה סבירה: כל מוצר ‘חכם’ אוסף מידע פרטי ומעביר לצד שלישי. אם זה סיני, זה ודאי.
בואו… כולם! אבל כ-ו-ל-ם!!!! מעבירים את המידע שלי אלאה.. אם זה הסינים האמריקאים או רוסים ואפילו.. הישראלים.. אגרון, דבש, מרשם האוכלוסין וכד’..
אז הם יודעים שאני נכנס לאתר פורנו כמה פעמים בשבוע.. ביג דיל.. גם אשתי יודעת את זה.. וגם חמותי יודעת את זה..
מי היה מאמין
יש להם דרך לאסוף מידע מדפדפן tor?
חמוד, זה לא משנה איזה דפדפן תשתמש. זו רק תוכנה בשכבה העליונה. בסוף הכל עובר דרך השבבים של שיאומי, ואפילו לפני זה, דרך הפירמוור, הקרנל והדרייברים ואת אלה ממש לא אכפת אם זה תור, או כרום או דפדפן שכתבת בעצמך.
תור מגן עליך מפני ספקיות אינטרנט ושאר רחרחנים בדרך שמקליטים את הפעולות שלך.
לפני או אחרי שהמידע מוצפן?
בזיכרון המכשיר המידע מפוענח (אלא אם כן דפדפן מומש עם טכניקות של איזור מוגן כמו שעושים במדיה קניינית מוגנת DRM). אם מישהו שתל קוד זדוני או חומרה זדונית הוא יכול לקרוא את המידע אחרי פענוח ולפני ההצפנה.
אם הם סתם מסניפים פקטות מוצפנות תיאורטית לא ניתן לפענח ללא מפתח אבל עדיין יש מספיק metadata (למי נשלח המידע, מאיזו אפליקציה, מתי. ב tor המטאדאטה פחות רלוונטי אבל מספק את עצם המידע שהלקוח משתמש בtor, וגם יכול לסייע באיתור ה nodes שדרכם הלקוח מתחבר).
אתה גם טמבל וגם משעמם
לא נכון!!! מתי???
:|
איזה שיאומי? שיאומי שלנו??