דיווח: שיאומי אוספת נתוני גלישה של משתמשים, כן, גם כשאתם באינקוגניטו

חוקר אבטחה גילה שהמכשיר שלו שולח קצת יותר מדי מידע לשרתים במדינות מרוחקות. בשיאומי לא מכחישים וטוענים שהחברה ”ממלאת אחר החוקים והרגולציות בנושא פרטיות המידע של משתמשים”

צילום: גיקטיים

שיאומי הסינית הפכה בשנים האחרונות לאחת מהשחקניות החזקות ביותר בשוק הסלולר. למען האמת, על פי הדו”חות האחרונים, היא כבשה בסערה את המקום ה-3 בטבלת יצרניות הסמארטפונים. בדרך כלל, שיאומי יודעת לספק תמורה הולמת למחירים נמוכים ביחס לשחקניות האחרות, אבל דיווח חדש עלול לעורר חשש אצל חלק מהמשתמשים, ולאשש מעט תיאוריות קונספירציה אצל אחרים.

כל נתוני הגלישה עוברים לשרתים ברוסיה וסינגפור

הדיווח של פורבס עוסק בחוקר אבטחה בשם גבריאל קירליג, אשר השתמש במכשיר ה-Redmi Note 8 שלו, כאשר הוא גילה שחלק מהאפליקציות שמותקנות בו עוקבות אחרי השימוש שלו, לעיתים במידה יחסית קיצונית. כאשר הוא בדק את דפדפן ברירת המחדל של שיאומי, גילה קריליג כי הדפדפן מתעד את כל האתרים אליהם גלש, את כל השאילתות למנועי החיפוש (גם אם הם של גוגל ואפילו של DuckDuckGo, מנוע החיפוש ששם דגש על פרטיות), ועוד פרטים נוספים. כל זאת, אפילו כאשר הוא גלש במצב גלישה בסתר (Incognito).

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

קירליג ניסה “ללכוד” את המידע המוצפן בדרכו לשרתים, והצליח לפענח אותו בקלות. זאת מאחר שהקידוד הנבחר הינו base64, שנחשב קל לפיצוח. לאחר כמה שניות הצליח קירליג לקרוא את כל המידע אשר נשלח מהמכשיר שלו אל השרתים, מה שגורם לו לחשוש ששחקנים רעים אחרים יכולים ללכוד את המידע הזה בקלות, ולשייך אותו למשתמשים ספציפיים. המידע מהדפדפן, ומידע נוסף אודות השימוש במכשיר, נשלח לשרתים מרוחקים בסינגפור וברוסיה דרך דומיינים שנרשמו בסין. חוקר אבטחה נענה לבקשת פורבס לבדוק את הנושא, וגילה כי דפדפן Mi וגם דפדפן Mint אספו את אותו המידע. לשני הדפדפנים ישנן יותר מ-15 מיליון הורדות לפי Google Play. עוד גילה קריליג כי אפילו נגן המוזיקה של שיאומי שולח מידע אודות השירים שהתנגנו.

שיאומי טוענת: כל המידע שנאסף הוא אנונימי

בתגובה לדיווח, שיאומי דחתה את כל הטענות וטענה שהיא “ממלאת אחר החוקים והרגולציות בנושא פרטיות המידע של משתמשים”. דובר מטעם החברה אישר כי שיאומי אכן אוספת מידע מהדפדפן שלה, אך הוא לא יכול להיות משויך לשום משתמש, וכי משתמשים צריכים לאשר באופן מפורש את איסוף המידע. עם זאת, קריליג טוען כי חלק מהמידע שנשלח לשרתים כולל גם מספרים מזהים ייחודיים של המכשירים. עוד דחתה שיאומי את הטענה כי מידע נאסף גם בעת שימוש במצב גלישה בסתר, אך קריליג והחוקר הנוסף תיעדו את שליחת המידע בסרטונים ובתמונות.

כל המידע המדווח לטענת קריליג, נשלח לחברה סינית לניתוח התנהגות משתמשים בשם Sensors Analytics. שיאומי אישרה את הקשר בינה לבין החברה, אך טוענת כי המידע הנאסף נשמר בשרתיה ולא מועבר לחברת הייעוץ או כל חברת צד שלישי אחרת.

יש לציין שכמעט כל דפדפן אוסף מידע אודות הרגלי השימוש של המשתמשים, אך לרוב מדובר במידע כמו לוגים לאחר קריסות “לשם שיפור השירות”, זאת בניגוד למידע שנאסף על פי הדיווח שכולל בין היתר גם את כל הכתובות אליהן גלש המשתמש, גם כאשר הוא לא מעוניין שיעקבו אחריו. שיאומי טוענת כי גם הסרטונים של קריליג מציגים איסוף של מידע אנונימי, וכי מדובר בפתרון שאומץ על ידי חברות אינטרנט שרוצות לשפר את חוויות המוצר שלהן על ידי איסוף וניתוח של מידע בלתי ניתן לשיוך ללקוח.

קריליג הוריד גם את ה-Firmware של מכשירי שיאומי אחרים כמו Mi 10, Redmi K20 וה-Mi Mix 3, וטען שכל המכשירים מכילים את אותו קוד המקור בדפדפן, מה שלטענתו אומר שגם הם שולחים את אותם הנתונים שהוא גילה על מכשיר ה-Redmi Note 8 שלו.

לאחר כמה ימים של לחץ, שיאומי שיחררה היום (א’) הודעה רשמית בה היא טוענת כי בגירסה הבאה של Mint ו-Mi Browser היא תוסיף אפשרות למשתמשים שלא ירצו שמידע ייאסף אודותיהם כאשר הם במצב גלישה בסתר. כמו כן, החברה ממשיכה לטעון כי כל המידע שנאסף ונשלח לחברה הוא אנונימי ולא ניתן לקישור לשום זהות שהיא.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

23 תגובות על "דיווח: שיאומי אוספת נתוני גלישה של משתמשים, כן, גם כשאתם באינקוגניטו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
פרדי
Guest

השאלה אם משתמשים בדפדפן אחר, ישנה גם העברת נתונים אל שיאומי?

גנא
Guest

הטלפונים שלהם זולים יחסית.. אני ישר איך שקונה.. מתקין עליו רום נקי סטייל Lineageos וביי הריגול הזה שלהם.. מנסה לשמור על הטלפון.. אז האיום של הסרת אחריות לא מרגש אותי יותר מידי.

אלי אלי
Guest

איזה גבר אתה. אפשר סלפי איתך?
ובנימה יותר רצינית.. לרוב המכשירים הסינים אין רום בהתחלה. אלו שכן יש אלו מכשירי דגל וגם עולים קצת יותר..

אני רק שאלה
Guest

אם זה מגן באופן מלא ? לא יכול להיות העברת מידע ברמה של תכנות מחדש של שבב התקשורת ?

מישהו
Guest

אכן כן, זה לא מגן ב 100%. כיום המודם של המכשיר הוא התקן עצמאי עם באס ישיר לזיכרון מעבד וכו ויכול לשלוח להם מידע בלי בעיות. זה דבר שניתן לנטר רק בציוד תקשורת סלולרי.
זו הסיבה לקיום פרוייקטים כמו librem ו pinephone

שיאומי ז\
Guest

על שיאומי אי אפשר להתקין ישר רום אחר,הגאונים חסמו את המכשיר ורק לאחר שאתה שולח להם בקשה ועוברות שבועיים, אתה יכול להסיר את הנעילה.

אלי
Guest

אפשר להשתמש ברום שלהם, לעשות רוט ולהסיר את כל האפליקציות של שיאומי,
בדקתי לאחר הסרה עם פיירוול, לא מגיע אליהם מידע.
אלא אם תחדשו לי

מישהו
Guest

המודם הוא צ’יפ בפני עצמו עם באס למעבד והזיכרון ויכול לשלוח על רשת סלולרית מידע בלי לעבוד דרך מערכת ההפעלה או נתב ה wifi. זה ניתן לבדיקה רק עם ציוד לניטור תקשורת סלולר

א.פ.
Guest

Base64 זה לא הצפנה, רק קידוד של נתונים. ולא מאובטח בשום דרך.

אנונ
Guest

חחח באתי להגיד את זה גם. מאכזב שעיתון טכנולוגי לא דואג שהכתבים שלו יודעים להבדיל בין קידוד להצפנה…

בייגל
Guest

מי אמר שקידוד זה לא הצפנה?!
תעיינו בערך קוד/קידוד במילון.

אולי
Guest

הנחת עבודה סבירה: כל מוצר ‘חכם’ אוסף מידע פרטי ומעביר לצד שלישי. אם זה סיני, זה ודאי.

אלי אלי
Guest

בואו… כולם! אבל כ-ו-ל-ם!!!! מעבירים את המידע שלי אלאה.. אם זה הסינים האמריקאים או רוסים ואפילו.. הישראלים.. אגרון, דבש, מרשם האוכלוסין וכד’..
אז הם יודעים שאני נכנס לאתר פורנו כמה פעמים בשבוע.. ביג דיל.. גם אשתי יודעת את זה.. וגם חמותי יודעת את זה..

מישהו
Guest

מי היה מאמין

אביטל
Guest

יש להם דרך לאסוף מידע מדפדפן tor?

משתמש אובונטו
Guest

חמוד, זה לא משנה איזה דפדפן תשתמש. זו רק תוכנה בשכבה העליונה. בסוף הכל עובר דרך השבבים של שיאומי, ואפילו לפני זה, דרך הפירמוור, הקרנל והדרייברים ואת אלה ממש לא אכפת אם זה תור, או כרום או דפדפן שכתבת בעצמך.
תור מגן עליך מפני ספקיות אינטרנט ושאר רחרחנים בדרך שמקליטים את הפעולות שלך.

בייגל
Guest

לפני או אחרי שהמידע מוצפן?

מישהו
Guest

בזיכרון המכשיר המידע מפוענח (אלא אם כן דפדפן מומש עם טכניקות של איזור מוגן כמו שעושים במדיה קניינית מוגנת DRM). אם מישהו שתל קוד זדוני או חומרה זדונית הוא יכול לקרוא את המידע אחרי פענוח ולפני ההצפנה.
אם הם סתם מסניפים פקטות מוצפנות תיאורטית לא ניתן לפענח ללא מפתח אבל עדיין יש מספיק metadata (למי נשלח המידע, מאיזו אפליקציה, מתי. ב tor המטאדאטה פחות רלוונטי אבל מספק את עצם המידע שהלקוח משתמש בtor, וגם יכול לסייע באיתור ה nodes שדרכם הלקוח מתחבר).

משתמש אובונטו
Guest
לי ממש לא אכפת. יש כמה שכבות של “ריגול” בעיניי: אלה שלכאורה ידועים: גוגל, פייסבוק, וואטסאפ, ווייז ושאר אפליקציות שעושות שימוש מוצהר בתנועות שלי. יש את הפחות מוכרים: חברות מסחריות וביניהן שיאומי שדואגות לאסוף מידע דרך המכשירים שלהן. זה כולל גם שלל אפליקציות ואתרים שעושים שימוש בכל מיני שיטות כדי לאסוף מידע. ובסוף יש את הממשלות. הסינים עושים בדיוק מה שהאמריקאים והNSA עשו במשך שנים עם ציוד של סיסקו ושליטה על נתבים. ריגול ברמת מדינה, פיצוח מפתחות עם מחשבי על, והאזנות כמה שבא להם. גם ישראל עושה את זה יפה מאוד. אני בדרך כלל לא טורח להגן על עצמי כי… Read more »
----
Guest

אתה גם טמבל וגם משעמם

אמציה
Guest

לא נכון!!! מתי???

אנימציה
Guest

:|

קרקו
Guest

איזה שיאומי? שיאומי שלנו??

wpDiscuz

תגיות לכתבה: