22 мая 2020
Безопасность в обмен на выгоду?
Константин Иванов
По материалам Android Authority
Даже если у вас никогда не было ни одного смартфона от Xiaomi, этот бренд вы в любом случае вспомните, если придется искать аппарат с хорошим соотношением цены и качества. От самых бюджетных предложений до «убийц флагманов», китайский производитель предлагает множество доступных устройств с привлекательными характеристиками. Однако сегодня речь пойдет о вопросе сохранности личных данных, который недавно всплыл в связи с китайской компанией, поставив под вопрос ее политику в этой области.
В интервью Forbes специалисты по безопасности Габриэль Цирлиг и Эндрю Тьерни заявили, что веб-браузеры Xiaomi собирают чрезмерно много данных о пользователе даже в режиме инкогнито. Якобы сюда входят и данные об URL и поисковых запросах, сделанных как в стоковом браузере MIUI, так и в Mi Browser Pro и Mint Browser. Все вместе эти браузеры насчитывают более 15 млн загрузок в Google Play Store.
В связи с этим неизбежно возникает вопрос: является ли безопасность ваших личных данных приемлемой платой за доступность смартфона?
Данные, которые собирает Xiaomi
Правда в том, что в настоящее время сбор данных о пользователях достиг таких масштабов, что многие люди просто воспринимают этот факт как неизбежность. Однако всему есть свой предел, и принимая во внимание небезосновательные претензии, можно говорить о том, что Xiaomi этот предел преодолела. Что вызывает наибольшую обеспокоенность, так это то, что, по утверждению Цирлига, компания использует уникальные номера, которые позволяют идентифицировать устройства, а значит, и пользователей. Как пишет Forbes, «устройство также записывало, какие папки он [пользователь] открывал и к каким экранам переходил, в том числе статусную строку и раздел настроек».
Xiaomi быстро отреагировали в попытке опровергнуть обвинения и заявили, что все дело в «неправильной интерпретации фактов». Позже Тьерни ответил на пост в блоге Xiaomi тредом в Twitter, где подтверждал свои изыскания новыми доказательствами. В указанном посте китайский производитель утверждал, что все собираемые им данные анонимны и подобная практика ни в чем не расходится со стандартами, общими для всей индустрии. Однако дела говорят красноречивее слов. Вскоре после появления поста Xiaomi выпустила обновление для своих браузеров, которое позволяет пользователям отключить сбор данных в режиме инкогнито.
Так что ж, проблема решена? Отнюдь. Добавление переключателя выглядит слабой попыткой успокоить пользователей. Она не нацелена на устранение изначального изъяна. Прежде всего, почему Xiaomi собирает все эти данные, если «сохранность и безопасность ваших данных – это высший приоритет»? Конкретные URL и поисковые запросы – это не то же самое, что телеметрия или статистика использования, необходимые для поддержания продуктов.
Впрочем, история получила дальнейшее развитие. 20 мая Xiaomi подтвердила, что начиная с апдейтов 12.1.4 и 3.4.3 сбор данных по дефолту отключен в режиме инкогнито в браузерах Mi и Mint. Изначальное заключение о том, что пользователям надо было специально отказываться от сбора данных, было вызвано непонятным обозначением переключателя сбора данных в обоих приложениях. Тапая на «Расширенный режим инкогнито», пользователь, на самом деле, по замыслу, должен был разрешить сбор данных, а не отказаться от него, как утверждалось до того.
Представитель компании Xiaomi заверил, что во избежание путаницы описание переключателей будет изменено в следующих обновлениях браузеров. Планируется скорое появление обновления в Google Play Store, оно ожидает одобрения Google. Вот что будет изменено:
Есть что скрывать?
Не стоит думать, что вам совсем нечего прятать. Просто вспомните обо всех своих дурацких запросах в Google, контенте для взрослых, который вы смотрели с телефона в режиме инкогнито, о чем угодно – вас правда устраивает, что некая компания обладает этими данными о вас при том, что вам не очень комфортен сам факт их наличия на вашем устройстве? Даже если мы предполагаем, что со стороны Xiaomi действительно нет никакого злого умысла, утечки стали в наше время обычным делом, а чувствительная информация может попасть к кому угодно.
Xiaomi уверяет, что все данные, которые она собирает, анонимны, однако этот факт оспаривается специалистами в области безопасности. И даже если мы примем в этом споре сторону Xiaomi, очевидно, что некоторые анонимные данные могут быть увязаны с пользователями. Например, в New York Times доказали этот факт применительно к анонимным данным о местоположении. Поскольку информацию из браузера может быть сложнее увязать с пользователем, чем данные о местонахождении, это, возможно, зависит от того, как данные собираются и хранятся.
Проблема еще и в том, что Xiaomi утверждает, что делает то же самое, что и все остальные. Это очень слабый аргумент. Компании заинтересованы в нарушении статус-кво в отношении неприкосновенности данных, чтобы можно было собирать больше ценной информации о покупателях. И если их действия не будут вызывать последствий, в будущем мы увидим гораздо более бесцеремонное обращение с нашими данными.
И когда обнаруживается, что даже режим инкогнито может быть не защищен от сбора данных, возникает вопрос. Если вы приобретаете хороший по соотношению цены и качества смартфон, стоит ли это вашей безопасности в Сети? Не пора ли переосмыслить ценность наших данных и ответственность компаний?
Не защищаю Xiaomi, но в свете последних событий, разворачивающихся в рамках торговой войны между США и Китаем, больше похоже на подготовку почвы под возможность наложения на компанию санкций под благовидным предлогом, как было до этого с другими китайскими компаниями (ZTE, Huawei, DJI).
А я смотрю вы прямо подтверждаете свой ник?
Тут скорее на всё из Китая. Просто кампания по демонизации.
Либо (как вариант) китайские компании таки используются правительством КНР для сбора «чувствительной» информации.
Хотя для РФ это не проблема, Россия и Китай ведь «стратегические» партнеры, верно ?
Да пофигу. Я мяу сразу сношу на сяоми. Предпочитаю AOSP & Lineage.
Ну не сразу))) Неделю приходится пользоваться, пока не разблокируют загрузчик.
Ну зато потом неплохая железка с кучей вариантов. Использую такую для «спуска пара». Чтоб не поставить кастом на основной ванплас. Как показывает долгая практика на редмиках: лучший кастом это порт с 1+ . По иногда руки чешутся проверить…
Кстати, а ведь все или почти все прошивки на Сяоми, это GSI версии. То есть зависят от вендорского Сяомишного раздела и работают поверх него. А что в том разделе активируется и общается с внешним миром, фиг знает. Нужна очень высокая квалификация чтобы это понять. Может и ничего, а может и стучит помаленьку.
Возможно, но менее вероятно. В вендорах тоже зачастую сборщики ковыряют.
И тут встаёт другой вопрос. Он заключается в том кому мы больше доверяем. Программистам корпорации. Или сборщикам прошивок. Но так мы дойдем до мыслей, что верить некому. Даже себе.
Пойду проверю сколько на кухне фольги осталось. Может докупить….
Нет. В вендорах сборщики не ковыряют. Это раздел создаваемый fastboot прошивкой мяуи. Накатка АОСП его никак не затрагивает. Не пишет и не модифицирует. Даже если можно прочитать бинари и конфиги, то исходников-то нет и поведение нам неизвестно. Тут скорее wireshark поможет. Но тоже не гарантия.
Проблему выбора вера/фольга это не отменяет.
Я как мне кажется всё-таки во многом телефон в инфе ограничиваю. Предпочитая стационар. Даже карта привязанная не основная и с дежурными деньгами на счету.
Надо сначала доказать, а потом обвинять и применять санкции. Но видимо против китайцев можно и без пруфов.
То ли дело американцы, которые прослушивали через смартфоны лидеров стран-союзников. Фрау Меркель, конечно, повозмущалась для приличия, но претензии предъявлять тактично не стала. Ну, с кем не бывает))
>> Надо сначала доказать, а потом обвинять и применять санкции. Но видимо против китайцев можно и без пруфов.
Ещё в 2010 в сенате был отчёт про ZTE и т.п.
Хайли лайкли?! Опять пробиркой какой-нить трясли?!
да, вообще странно что они кроме зте и хуавей на остальных внимания не обращают.
вообще сша хотят доминировать в слежке, а тут китайцы конкурируют
Эммм…
А то что майкрософт воровало пользовательские поисковые запросы в гугл, уже забыли?
))
Они там все одним миром мазаны, начиная от браузера амига, и заканчивая браузером яндекс.
Хоть ты и пассивный либераст, не могу не согласиться с тобой.
Вообще то я Анархист.
Бакунин, князь Кропоткин, граф Толстой — рекомендую ознакомиться!
Ну, а оператор, конечно же, доступа к передаваемым данным не имеет и свято хранит анонимность, не прогибаясь даже под спецслужбы.
Китайцам верить нельзя — это факт.
Fix.
Никому верить нельзя!
Браузерам «спутник» и «яндекс» — нужно верить!
так точно, товарищ майор!
так-то уже подполковник КГФСБ
Ну, если Xiaomi будут продолжать в том же духе, то, возможно, скоро остальных догонят на поприще слежки и сбора личных данных 🙂
Пока что американцы давили китайские компании с долей государства
Ой, святые люди с хорошими лицами из самой демократичной странына самом деле нет обвиняют китайцев в слежке и сборе информации. Прямо лицемерие на марше..
А китайцы белые и пушистые… И ни в какие тайные игры не играют. Никогда
Еще раз и по буквам: я не сказал, что китайцы «белые и пушистые», я сказал что очень лицемерно и отвратительно слушать такие заявления от народа, который прослушивает и следит за всеми на планете. Забыли, что публиковал Сноуден?..
А Сноуден (перебежчик, то есть предатель…) истину глаголет ? Или говорит то что от него требуют в обмен на защиту ?
Информации Сноудена можно доверять. Особенно судя по реакции американских властей. Как говорится, на воре и шапка горит.
А какая была реакция американских властей ?? Можно оригинал публикации (не в переводе 1-го канала) ? Вот реакция на Скрипаля получила широкую огласку
При чем тут 1-й канал? Ищущий да найдет. Сноуден (и Ассандж) ведь не сразу все свои материалы публикуют. Поищите даты публикаций и ближайшие к ним брифинг Государственного департамента. Там журналисты (американские) задают вполне конкретные вопросы.
да ладно вы сделали банальный перевод стрелок, и не надо отмазываться
И тем не менее, я такого не говорил. Будьте добры, перечитайте мои комментарии в ветке. Перечитали? А теперь покажите, где в нем перевод стрелок.
что за перевод стрелок! Это не оправдывает китайцев! кроме того в Европе и Штатах есть контроль и законодательная база под эту тему.
с цукерберга вон спрашивали за слив данных. и с apple.
а китайцы привыкли не ценить свою личную жизнь.
>с цукерберга вон спрашивали за слив данных
И кому, позвольте спросить, он сливал данные?
Компании, которая позволила трампу стать президентом?
айлол
А китайцы другой жизни и не видели. Всегда под колпаком были.
Мы тут про безопасность читаем?
https://uploads.disquscdn.com/images/1eee67dc6e6e39a9780683b7f6873a30a9b8f87357d060f10052fbbc86415f6a.jpg ??????
И что? Не понимаю этого помехательства на https. Вы этому сайту не только банковские карты не передаете, но даже логина с паролем не имеете (привет Дискус). Или боитесь что страшный man in the middle вам подменяет статьи, на те в которых Эппл фсе а Самснуг царь горы?)))
Мы тут ни при чем — просто актуальные браузеры запрещают заходить на сайты без защиты.
И да, еще 3-4 года назад они об этом говорили — так сказать сроку дали с очень большим запасом,
а (например) мозилла, даже подняла для этого собственный бесплатный сервис выдачи сертификатов для сайтов.
Да норм, уже 2 года прошло, как они «настраивают» SSLTLS.
Это же сайт про мобильные и ИТ технологии!
Вот еще бы с чиферами разобрались, да отключили TLS 1.0 и 1.1 как не безопасные.
https://uploads.disquscdn.com/images/eb19b6ade7678552238773150a602753b6dcb55cb8124a8638251b1d0ff46cc3.png
«Чиферы» — это любители чифиря?)
«Cipher Suites»
Набор шифров для настройки SSLTLS
В разговорной речи админов — «чиферы» «циферы»
https://uploads.disquscdn.com/images/be888911ff917c5c6056fe51ccc094088924b99b8d2e3bb04e40a88912aee123.png
Ну и ладно,ничего секретного там нет
Святая простота.
Никогда не видел, чтобы кто-то пользовался браузерами от производителя на андроид. Безопасность, это скорее про трубой по голове, кстати.
Я самсунговским браузером пользуюсь. Не идеальный, но самсунгу, кажется, наконец-то удалось создать софт, который не пробуждает острое желание побыстрее снести его.
странно, с одной стороны не вижу проблем с хромом. с другой — не вижу необходимости привязывать к аккаунту сторонний браузер. не с точки зрения «безопасности», а чисто технически.
Пока не будет ярких примеров реального вреда, толку от таких призывов нет. И как бы не было вреда «Волки! волки!». Может хватит пугать гипотетическими угрозами, при наличии вокруг массы иного реально опасного? Есть что сказать — говорите прямо, нет — ждите когда появится и только потом, раздувайте из искры пламя. Сейчас это выглядит скорее как
Опубликованные логины и пароли от CMS этого блога подойдут в качестве пруфов утечки данных через SSL? (sarcasm)
))
во1х не валите в кучу все слабости ИТ. Телеметрия и хакинг серверов 500пикс, букмейт и др., это разные вещи и разные угрозы. Опять же, несмотря на столько «открытых» данных, речь идет не о факте их доступности, как и с собранной телеметрией, а о реальных негативных последствиях. В контексте, если бы вендор такой-то не собирал такие-то данные, Вася Пупкин не потерял Х.
во2х я сам не оправдываю избыточную телеметрию, лишь критикую способ борьбы с ней такими статьями. О чем и был мой коммент. Нужна прямая связь, описанная выше. Желательно массовая.
Прямая связь:
Если бы Главный мобильный аналитик не установил программу для распознавания визитных карточек на свой телефон — его данные никуда бы не утекли!
картинка из открытых источников как бы демонстрирует ….
Вот последняя утечка от 15 мая 2020 года, это сервис дигитайзинга (не знаю как правильно по русски) business card
Вот мне подсказывают — «Визитка»!
https://uploads.disquscdn.com/images/59506163ced708d07f6ee3b45c40968541362112d8b22f74e722c7b90269bc06.png
_________
Пользуюсь сяоми.
Недавно пришлось сделать вайп системы. И знаете что? Сразу после подключения к вай-фай он мне скачал приложение «Россия — Китай: главное». Сразу удалил. Понятно же, что это заказ правительства Китая, пропаганда.
Они вам поставят что угодно втихую и сольют любые данные. Крайне недоволен этими китайскими смартфонами. Приложения требуют очевидно ненужные им разрешения, везде реклама, левые установки.
Телефон больше тебе не принадлежит!
Я думал, что покупаю телефон, а купил китайского большого брата.
Вопрос в другом. Готовы ли лично Вы, использовать едва работающую, неэффективную, ненадёжную, но свободно распространяемую
программу, вместо удобной и надёжной, но которая не уважает Вашу свободу? А то ведь все жалобы только на словах.
сначала объясните, что вы имеете в виду под свободой и ее уважением?
В данном случае, чтобы не возникало ощущение что «Телефон больше тебе не принадлежит!».
Ощущения — это из области психиатрии.
В реальности такого противопоставления не существует вовсе, обычно и не уважает свободу и неудобно. Одновременно.
у меня был хуавей, сейчас хонор, то же самое, но ничего не ставит сам.
А вот на работе взяли редми, капец сколько всего он делает — все время предложения и прочее, при том, что я отключил рекламу в настройках
что я делаю не так, если никогда никакой рекламы в редми не видел, кроме как в секьюрити разделе, но, так она и в гугл плей есть.
По этому надо покупать смартфоны на голом андройде.
Зато дешевый!
в первый раз услышал про эти браузеры.
у меня хуавей, он все сливает китайскому правительству
Собирают информацию практически все браузеры… Статья однобокая. Сайт скатился.
Ну так материал переводной, а не оригинальный!
В самом верху — По материалам Android Authority
Алгоритм просто — калька с иностранной статьи с запахам хайпа, «авось и здесь проканает»…
Можно мазилу установить и в ней запретить передачу твоих данных. Там есть пункт такой даже его надо включить.
Ой ли? По крайней мере на Андроид Лисе. На 4пда
и список из нескольких десятков хостов.
https://4pda.ru/forum/index.php?s=&showtopic=163303&view=findpost&p=96618129