小米爆私隐危机记录用户资讯 解构原因 | 官方回应

撰文: 区庆威
出版:更新:

小米爆发私隐危机!据 Forbes 福布斯报道,资讯保安研究人员发现小米手机的浏览器,在背地里收集大量的用户数据,包括浏览的网站、搜寻项目等用户习惯,构成严重的私隐问题。小米官方又作出怎样的回应呢?

根据Forbes 福布斯日前的报道,资讯保安研究员以小米的 Redmi Note 8 作测试,发现随机的 Mi Browser 收集大量的用户个人资讯,当中包括了曾经浏览的网站,以 Google 及向以私隐度高见称的 DuckDuckGo 作搜寻时的搜寻项目,甚至在 Mi Brower 以 incognito 私密模式浏览的时候,手机依然继续收集用户资讯,并且将有关数据上载至位处于新加坡及俄罗斯的,由小米租用的阿里爸爸伺服器。研究员认为,这样的情况是对用户私隐的严重损害。

Forbes 测试有问题的型号并未在港发售,图中是同系列规格最接近的型号 Redmi Note 8T。(小米)

这一部份记者希望稍为厘清一点资讯,根据福布斯报道,资讯保安研究员 Cirlig 是利用 Redmi Note 8 预载的 Mi Browser 小米浏览器,去开启 Google 及 DuckDuckGo 进行浏览,而并非如部份本地媒体所翻译,以 Google Chrome 或 DuckDuckGo 浏览器搜寻,却同样被小米收集数据。由于 Cirlig 的发现,福布斯亦委托另一位资讯安全专家 Andrew Tierney 作出调查,发现除了 Redmi Note 8 之外,其他预载小米浏览器的手机,以及从 Google Play 下载的 Mi Browser Pro 及 Mint Browser,亦会作出同样的收集数据行为。

小米最初回应福布斯查询时,有关的资讯收集纯粹是作为用户体验的研究,而且上载的数据是经过加密,资讯亦不会跟用户身份有所连系;不过 Cirlig 发现,有关加密只是以非常入门的 base64 形式进行,只需数秒就可以轻易破解,而且有关数据亦包括了手机型号、Android 版本资讯,以及一些可以辨认个别装置的序号,有关的“metadata”可以非常轻易就联系到用户身上。

Cirlig 甚至制作了一段影片,显示小米浏览器就算在 incognito 模式,依然记录他的搜寻项目,及根据搜寻浏览的网站。虽然小米曾经辩解,指浏览器纯粹是收集不记名凡大数据作研究之用,在浏览器行业来说是非常常见的做法。另外部份数据则属于帐户同步,方便用户在不同的小米手机之后转换,保留自己的用户资讯。不过,两位研究员同样指出,小米浏览器收集的资讯,包括收集用户曾经造访的 URLs,实在远较 Google、Apple 等厂商的主流做法,明显的侵犯个人私隐。

小米最初对福布斯的报导,作出以下的回应:

小米对于近日福布斯的报导感到失望,我们深信他们错误解读我们的资料私隐原则及政策。用户的私隐及网络安全是小米的首要考虑,我们严格遵守及符合不同国家的法律及法规。就此,我们已与福布斯联络以厘清其误解。

不过随著事情开始发酵,小米亦在官方网站作出更详尽的官方回应,除了多谢研究员对旗下产品的热心参与及具建设性的提议之外,小米亦为旗下手机的预载浏览器,以及 Google Play 上的 Mi Browser/Mi Browser、Mint Browser 提供更新版本,在 incognito 模式中加入选项,让用户选择不分享大数据收集,总算是回应了有关浏览器方面的问题。

除了浏览器之外,两位研究员亦发现,小米手机会记录用户的使用习惯,当中包括曾经开启的手机资料夹、曾经作出触控操作的介面,甚至连小米预载的音乐播放器,亦会收集用户曾经收听的乐曲资讯,连播放的时间亦被记录。而有关的数据,似乎是透过手机当中一个叫 SensorDataAPI 的手机介面,传送到一间专门研究用户行为习惯的中国初创 Sensors Analytics,作分析之用。

虽然小米回应确认自己是 Sensors Analytics 的客户,不过有关的数据收集属匿名性质,而且收集的数据只会储存在小米自己的伺服器之上,并不会跟 Sensors Analytics 或者任何的第三方分享。这里容许记者解释一下,手机厂商收集用户使用资讯,去分析用户体验,包括手机操作是否畅顺、介面是否准确等,其实亦属于常见的习惯,重点是收集的数据,到底是否不记名,及会否有机会泄露用户私隐。

有关这一方面,一般的用户实在不容易去分辨,到底自己的手机收集了什么程度的数据,唯一可以选择的,是将数据跟一些比较可靠的机构去分享。一般来说,Google 及 Apple 等大型企业,在用户的个人私隐上有较严谨的收集要求,所以在 Android 上使用 Chrome 浏览器,一般应该较制造商预载的浏览器更加可靠。另外,Chrome 浏览器可以跟 Gmail 帐户同步浏览记录等资讯,假设有一日转换手机,而且不再继续使用同一厂商,使用 Chrome 浏览器、Google 日历、通讯录、图片等 Apps,自然较使用制造商预载 Apps,更容易将个人资讯同步到其他装置,继续使用。

Redmi Note 9 Pro 系列小米 Note 10 Lite 国际版规格定价一览小米 10 青春版发布 三千有找买到 5 倍光学变焦镜头小米米粉节 最新产品减价手机抵玩家电攞尽优惠方法一次过睇【5G手机选购攻略】小米、华为、Samsung、vivo 有劲有平点样拣?小米10 Pro 平玩 5G 新手机 1 亿像素镜头人像拍摄速试小米 10 Lite 5G 发布 亲民价规格下调国际版登场全民 5G小米 10 Pro 系列 1 亿像素实机试玩 DxO 摄影音响双冠军真旗舰小米10 Pro 发布 配超色准屏幕 DxO新王者不再平价