小米装置被揭发会记录用家使用情况,并将资料上传至中国服务器。这些记录资料包括网上搜寻, 到访网站,就算无痕模式下亦会被记录,而用家界面上的操控以至装罝的资料都会同样上传至中国服务器。
无痕模式, 画面操作都被记录
美国福布斯杂志报道揭发小米装置会将大量用家的使用装置的资料记录,并上传至中国服务器内。报道引述从事网络安全的 Gabriel Cirlig 指出他使用 Redmi Note 8 默认小米浏览器,到访过的网站, 不论是使用 Google 还是 DuckDuckGo 搜寻器上搜寻的字串都会被记录和上传,就算他开启了无痕模式 Incognito 情况亦一样。上传的资料全部没有加密,只是以简单的 base64 编码作上传。
Cirlig 更进一步发现,不单是小米浏览器,就连在 Redmi Note 8 开启资料夹,拨动屏幕以至开启设定页面等操作情况都会被记录再上传至服务器。Cirlig 亦发现其他小米装置 Xiaomi MI 10, Xiaomi Redmi K20 和 Xiaomi Mi MIX 3 内都有着相同的浏览器程式码,估计会有相同的私隐问题。
福布斯访问从事 Cybersecurity 研究的 Andrew Tierney,他亦指出在 Google Play 上两款小米浏览器 Mi Browser Pro 和 Mint Browser 有相同的情况,都会收集用家的漤览资料。Cirlig 和 Andrew Tierney 两人都指出,小米装置除了收集浏览资料外,亦会一并收集装置的资料包括装置识别码,即是话有可能将这些搜寻资料成功联系至某一装置,从而识别出搜寻资料的当事人。
下面的 Youtube 可以看到小米装置记录上传用家的搜寻资料情况。画面右边是小米装置画面,左边就列出小米装置上传出去的记录。在小米装置开启 Browser 无痕模式再进行搜寻,就会看到搜寻记录被上传出去,而上传的资料只是以 base64 编码,只要简单 decode 就可以还原看到上传的所有资料。
Source: Forbes