Xiaomi
Xiaomiスマートフォンはユーザーデータを広範囲に収集しています。さらに、すべてが追跡され、シンガポールとロシアのアリババがホストするサーバーに送信されています。 Xiaomiはこれらのサーバーをレンタルし、それらに完全にアクセスできます。そのようなレポートがXiaomiの主要市場で表面化し、広く流通した後、中国のスマートフォン大手は、収集されたデータが利用される理由と方法を明らかにしようとする声明を発表しました。
Xiaomiのスマートフォンは、サブブランドに関係なく、大量のユーザーデータを収集することが観察されていると報告されています。興味深いことに、Xiaomiはこの主張に反論しておらず、Androidスマートフォンが実際にユーザーデータと情報を収集していることを認めています。しかしながら、 Xiaomiの公式ブログのブログ投稿を通じて 、同社は、Xiaomiがフルアクセスできるサーバーに流入するデータの方法、処理技術、および使用法について詳細に説明しています。
Xiaomiはユーザーデータを収集して収集しますが、分析とサービスの改善のために同じものを匿名化しますか?
セキュリティ研究者のGabiCirligは、彼が使用したXiaomiブランドのデバイスが使用習慣を追跡しており、すべてのデータがXiaomiによってレンタルされたシンガポールとロシアのAlibabaがホストするサーバーに送信されたと主張しました。 Xiaomiが収集したデータの量、頻度、範囲はさらに懸念されていました。
Cirligによると、収集されたデータには、電話で開いたフォルダー、ステータスバーを含むスワイプした画面、設定メニューが含まれていました。 Xiaomiは、CirligがRedmi電話のデフォルトの音楽プレーヤーを使用して聴いている音楽を追跡していました。セキュリティ研究者はまた、Xiaomiのデフォルトのブラウザアプリを使用してWebを閲覧するたびに、アクセスしたすべてのWebサイト、検索エンジンクエリ、およびブラウザのニュースフィードで表示されたアイテムの記録を保持していると主張しました。
当然のことながら、Xiaomiは、ブラウザがすべてのデータをシークレットモードで送信するのは間違っていると言っています。
だからここに証拠があります。
最初にダウンロードされたアプリは「ミントブラウザ」でした。昨日、Playストアから直接入手しました。 https://t.co/GJedDen5B1 pic.twitter.com/lYzQdCzAwX
— Cybergibbons(@cybergibbons) 2020年4月30日
ちなみに、これは孤立した事件ではないようです。別のセキュリティ研究者のAndrewTierneyは、XiaomiのMi BrowserProとMintBrowserで同じ動作を発見しました。どちらのブラウザも、AndroidのGooglePlayストアから無料でダウンロードして使用できます。
大規模なテクノロジー、ソーシャルメディア、スマートフォン企業のユーザーデータ収集手法は広く知られています。ただし、セキュリティ研究者は、データ収集ポリシーの範囲を追加しました。 Cirligは、ブラウザでシークレットモードを使用している場合でも、Xiaomiの侵襲的なデータ収集が継続していると主張しました。
Xiaomiは、公式ブログで、データを完全に暗号化すると主張しています。しかし、Cirligは、そこから読み取り可能な情報を簡単にデコードして見つけることができたと主張しました。興味深いことに、データがどのように公開されているかを公開しているとされるビデオがあります。
Xiaomiは収集したユーザーデータを悪用していますか?
Xiaomiは、Androidスマートフォンがユーザーデータを収集することを正式に承認しました。しかし、会社はそれがすべてを要することを強調しました 関連性のある必要な予防措置 ユーザーのプライバシーを確保するため。同社は、データがユーザーIDを公開したり、実際のデータをユーザーにリンクしたりすることはどの段階でもないと付け加えました。さらに、Xiaomiは、すべての段階でユーザーデータの匿名化と暗号化を含む「業界標準」に従ってデータを収集、保存、および処理すると付け加えました。
Xiaomiは、Miの公式ウェブサイトでホストされているブログ投稿で、データの収集、保存、処理、分析の方法を説明しようとしています。 Xiaomiは当初、「可能な限り最高のユーザーエクスペリエンスを提供し、オペレーティングシステムとさまざまなアプリ間の互換性を高めるために」ユーザーデータを収集することを明確にしています。同社は、データを収集する前に、関連する権限とユーザーの同意を確保すると付け加えました。言い換えれば、Xiaomiはすべてのデータ収集ポリシーの実践がエンドユーザー自身によって許可されていると主張しています。
Xiaomiは、によるレポートに応えてブログ投稿を公開しました @iblametom そして @cybergibbons https://t.co/Iqw5ipIYcu
環境: https://t.co/CXBXP5eCwL
--Mishaal Rahman(@MishaalRahman) 2020年5月1日
業界慣行として、Xiaomiのサーバーが収集するデータには2つのタイプがあります。システム情報、設定、ユーザーインターフェイス機能の使用状況、応答性、パフォーマンス、メモリ使用量、クラッシュレポートなどのデータが集約され、匿名化されます。これにより、サードパーティのアプリ、開発者、または悪意のあるソフトウェア作成者は、何らかの方法でデータにアクセスできたとしても、データを個々のユーザーにリンクできなくなります。 2番目のタイプのデータには、ユーザーがMiアカウントと結び付ける個人のユーザー閲覧データ(履歴)が含まれます。このようなデータも、Xiaomiが保証する安全な暗号化手法を使用して収集および保存されます。
Xiaomiの声明: https://t.co/TPlD8OIhB3
ユーザーは情報に基づいた方法で本当に同意しましたか?疑わしい。それに加えて、「個人を特定できる情報をこのデータにリンクすることはありません」とは、PIIの定義を開示しない限り、あまり意味がありません。 pic.twitter.com/r61CC71xBC
--Wolfie Christl(@WolfieChristl) 2020年5月1日
アクセスは、 Xiaomiは4つの認証を取得したと主張しました Xiaomiのスマートフォンとそのデフォルトアプリのセキュリティとプライバシーの慣行を認定したものが続きます。これらは、ISO27001:2013、ISO27018:2014、ISO29151:2017、およびTRUSTeです。
Xiaomiは中国のスタートアップSensorsAnalyticsと提携しています。同社は、「詳細なユーザー行動分析プラットフォームと専門的なコンサルティングサービス」を提供すると主張しています。 Xiaomiはそれが会社と連携することを確認しました。ただし、同社は、収集されたすべてのデータは自社のサーバーに保存されており、サードパーティ企業と共有されていないと主張しました。
タグ Xiaomi