注意深い！ Xiaomi は、シークレット モードであっても、Web アクティビティを収集してサーバーに送信します

Xiaomiが数百万人のユーザーから個人情報を収集し、中国とロシアのサーバーに保存していたことが判明した。 Forbesのレポートによると、Mi Browser Pro ブラウザ、Mint Browser、およびこのブランドのデバイスにデフォルトで含まれているブラウザなどの中国メーカーのアプリケーションは、シークレット モードであるかどうかに関係なく、ユーザーの Web 行動をキャプチャします。

セキュリティ専門家の Gabi Cirlig さんは、彼女のRedmi Note 8がインターネット上の活動を監視していることを発見しました。訪問したサイトの履歴、検索エンジンのクエリから、携帯電話で開いたフォルダーや画面に至るまでのデータが、北京に登録されているロシアとシンガポールのサーバーに送信されました。どうやらこれらはアリババ、つまり中国のアマゾンに属しており、このスペースをXiaomiに借りています。

Cirlig氏によると、これはXiaomi Mi 10 、 Redmi K20 、 Xiaomi Mi MIX 3などの他のデバイスでも発生している可能性があります。これらの端末のファームウェアはRedmi Note 8と同じブラウザソースコードを共有しているためです。研究者はビデオを録画しました。ここでは、Google でのポルノの検索とシークレット モードでの PornHub への訪問がモバイルによってどのように収集され、送信されるかを明らかにしています。

Cirilig 氏によると、問題は、この情報がパッケージ化され、base64 暗号化で保護されているため、簡単に破られ、ユーザーデータが漏洩したままになってしまうことです。これらのパッケージは、携帯電話の一意の識別子やインストールされている Android のバージョンなどのデータも送信します。セキュリティ専門家によると、これらの情報は携帯電話の所有者と簡単に関連付けることができます。

どうやら、この情報は、行動分析を専門とする企業である Sensors Analytics によって収集されているようです。 Forbesに雇われたもう 1 人のサイバーセキュリティ研究者である Andrew Tierney 氏は、この問題の分析を実施し、情報がその会社を参照し、SensorDataAPI と呼ばれるプログラミング API を含むドメインに到達することを発見しました。

データ収集はXiaomiブラウザに限定されず、音楽アプリ、ニュースセクションでアクセスしたサイト、さらには画面をスワイプしたり、ステータスバーを操作したり、メニューシステム構成ファイルにアクセスしたりするときの動作も送信されていたことが判明したためです。 Xiaomi のサーバーに送信されます。

この慣行は新しいものではなく、Google が「エクスペリエンスを向上させる」ためにアプリケーションで同じことを行っていると主張する人もいるかもしれませんが、Xiaomi はユーザーが自分の行動が安全であると信じているシークレット モードで情報にアクセスすることでさらに一歩進んでいます。

同社は、研究者らの主張は虚偽であり、閲覧データは匿名で収集されており、ユーザーはそのような追跡に同意していたとしながらも、閲覧データを収集したことを認めたという公式立場を示した。ビデオテストにもかかわらず、Xiaomiはシークレットモードでの動作をキャプチャしていないと述べた。

Xiaomi は、この件についての意見を伝えるためにニューロストリーム に連絡しました。

「シャオミは最近のフォーブスの記事に同意しません。私たちは、当社の原則とデータプライバシーポリシーに関して私たちが伝えたことを彼らが誤解していると信じています。ユーザーのプライバシーとオンラインセキュリティはシャオミにとって最優先事項です。私たちは「私たちは必ず厳格に遵守します」私たちはその残念な誤解を明確にするためにフォーブスに連絡しました。」