研究人员实测小米手机与小米浏览器发现,即使在无痕模式下,仍然会回传浏览纪录到小米的伺服器,让个资曝光。小米官方也快速回应,在最新版本中让用户选择是否愿意分享资料。
根据 Forbes 报导,资安研究人员 Gabi Cirlig 和 Andrew Tierney 发现小米手机与浏览器存在资讯外流风险。Cirlig 使用的红米 Note 8,几乎记录了他在手机上所做的任何行为,即使在「无痕模式」下,他的浏览纪录、搜寻纪录以及他在小米浏览器上看过的新闻,全部都被纪录,并回传到位于俄罗斯和新加坡的小米伺服器。
Tierney 则发现,不仅是手机,他从 Google Play 下载的小米浏览器和薄荷浏览器,同样也会窃取这些使用者行为资讯,而受影响的使用者约有 1,500 万人。
小米官方在第一时间回应,这些资讯都是经过用户同意才取得,并且经过加密保护,但 Cirlig 在这段影片中示範了这个加密有多脆弱,他只花了 5 秒钟就将加密资讯还原成可阅读的内容。
▲ 影片中可以看到手机回传搜寻纪录,以及加密内容瞬间被破解。
虽然小米官方迅速回应,并表示这些资讯并不真实,然而却无法掩盖他们确实在收集使用者行为的事实(虽然几乎每家公司都在这样做),因此小米在今天更新了浏览器功能,并新增了一个选项,让使用者可以决定是否要提供数据给小米,「以优化使用者体验」。
有趣的是,中国网友的反应多半认为,最近许多小米的负面新闻都是来自于竞争厂商的「黑稿」,对于个资保护较不敏感的中国用户,似乎因此对于小米新作业系统更加期待。