【用家留意】小米爆私隱收集漏洞 急推瀏覽器更新
05月05日
Cirlig 使用的紅米 Note 8,幾乎紀錄了他在手機上所做的任何行為,即使在「無痕模式」下,他的瀏覽紀錄、搜尋紀錄以及他在小米瀏覽器上看過的新聞,全部都被紀錄,並回傳到位於俄羅斯和新加坡的小米伺服器。
Tierney 發現,不僅是手機,他從 Google Play 下載的小米瀏覽器和薄荷瀏覽器,同樣也會竊取這些使用者行為資訊,而受影響的使用者約有 1,500 萬人。
小米官方回應強調,報道為不實陳述,這些資訊都是經過用戶同意才取得,並且經過加密保護,是為了改善使用經驗。
但 Cirlig 在這段影片中示範了這個加密有多脆弱,他只花了 5 秒鐘就將加密資訊還原成可閱讀的內容。
Tierney當天就反駁小米。他說,小米的確加密了所傳輸的資料,但採用的是很容易破解的base64,而且小米所傳輸的資料中還包含裝置資訊,搭配瀏覽資料很容易讓使用者的身分曝光。此外,Tierney也批評,他們既未登入小米帳號,也未勾選同步功能,但瀏覽資料一樣被上傳。