小米智能手机正在追踪数百万用户的私人网络和手机使用情况

小米智能手机并不像看起来那么无辜。当全世界(以美国为首)对华为严加指责，称中国政府存在后门，以监视外国用户时，一位经验丰富的网络安全研究员发现，小米生产的智能手机是“带有手机功能的后门”，

据《福布斯》报道，一名安全研究员发现他的红米Note 8一直在监控他在智能手机上做的几乎所有事情，并将数据发送到中国巨头阿里巴巴的远程服务器上。研究人员发现，使用一种劣质的加密标准来跟踪和收集令人不安的使用量，这种标准很容易被解码为纯文本，暴露个人身份。

著名的安全研究员加比·西利格(Gabi Cirlig)发现他的红米设备记录了他使用默认的小米浏览器访问过的所有网站，包括他在Duck Duck Go和谷歌上的搜索引擎查询。所有在新闻推送中查看的条目，以及“隐身模式”下的活动。此外，他还发现，该设备正在监控他打开的文件夹、滑动到的屏幕(甚至是状态栏和设置页面)，所有数据都被发送到新加坡和俄罗斯的服务器上，这些服务器由阿里巴巴所有，小米租用。

《福布斯》还联系了另一位网络安全专家安德鲁·蒂尔尼，他证实了发生在小米智能手机上的大规模数据泄露事件。他在谷歌播放商店的小米浏览器中发现了同样的追踪代码，下载次数超过1500万次。

虽然只有红米Note 8被当场发现收集用户数据，但新Mi 10、红米K20和Mi Mix 3的固件也有相同的浏览器代码，这证明了昂贵的旗舰产品也并非完全无害。

《福布斯》报道称，就连小米分享数据的方式也令人怀疑。在与小米取得联系后，该出版物了解到数据在传输时被加密，以保护用户隐私。然而，由于遵循的加密标准很容易被破解，研究人员很快就能破译大量信息。据报道，他只花了几秒钟就发现了加密背后的秘密。该报告称，小米使用Base64加密标准，这是已知的会被恶意的玩家拦截并轻松解码为纯文本的东西。这使得数以百万计的小米用户的数据面临被盗，并被用于欺诈和诈骗的风险。

“我主要担心的隐私问题是，发送到他们服务器的数据很容易与特定用户关联，”这位研究人员告诉《福布斯》。

小米在给《福布斯》的一份声明中否认了这一指控。声称该研究存在缺陷，并且增加隐私和安全是该公司最关注的问题。不过，一名发言人证实，这些设备正在收集浏览器数据，但信息是匿名的，因此不能与个人绑定。该发言人还表示，用户已经同意这样的跟踪。

小米还将“行为分析”列为收集用户数据的一个理由。该公司正在使用行为分析初创公司“传感器分析”(Sensors analytics)的服务，该公司总部位于中国。数据发送到的域具有对公司的引用，并且在电话中提供了一个API，以方便收集。

小米和传感器分析一起工作是由小米发言人确认的。这家创业公司甚至把小米列在它的客户列表下。然而，发言人坚称，这些数据只存储在小米拥有的服务器上，不会与传感器分析公司或任何其他第三方公司共享。

标签：

版权声明：本文由用户上传，如有侵权请联系删除！