小米爆私隱危機記錄用戶資訊 解構原因 | 官方回應

撰文:區慶威
出版:更新:

小米爆發私隱危機!據 Forbes 福布斯報道,資訊保安研究人員發現小米手機的瀏覽器,在背地裡收集大量的用戶數據,包括瀏覽的網站、搜尋項目等用戶習慣,構成嚴重的私隱問題。小米官方又作出怎樣的回應呢?

根據Forbes 福布斯日前的報道,資訊保安研究員以小米的 Redmi Note 8 作測試,發現隨機的 Mi Browser 收集大量的用戶個人資訊,當中包括了曾經瀏覽的網站,以 Google 及向以私隱度高見稱的 DuckDuckGo 作搜尋時的搜尋項目,甚至在 Mi Brower 以 incognito 私密模式瀏覽的時候,手機依然繼續收集用戶資訊,並且將有關數據上載至位處於新加坡及俄羅斯的,由小米租用的阿里爸爸伺服器。研究員認為,這樣的情況是對用戶私隱的嚴重損害。

Forbes 測試有問題的型號並未在港發售,圖中是同系列規格最接近的型號 Redmi Note 8T。(小米)

這一部份記者希望稍為釐清一點資訊,根據福布斯報道,資訊保安研究員 Cirlig 是利用 Redmi Note 8 預載的 Mi Browser 小米瀏覽器,去開啟 Google 及 DuckDuckGo 進行瀏覽,而並非如部份本地媒體所翻譯,以 Google Chrome 或 DuckDuckGo 瀏覽器搜尋,卻同樣被小米收集數據。由於 Cirlig 的發現,福布斯亦委託另一位資訊安全專家 Andrew Tierney 作出調查,發現除了 Redmi Note 8 之外,其他預載小米瀏覽器的手機,以及從 Google Play 下載的 Mi Browser Pro 及 Mint Browser,亦會作出同樣的收集數據行為。

小米最初回應福布斯查詢時,有關的資訊收集純粹是作為用戶體驗的研究,而且上載的數據是經過加密,資訊亦不會跟用戶身份有所連繫;不過 Cirlig 發現,有關加密只是以非常入門的 base64 形式進行,只需數秒就可以輕易破解,而且有關數據亦包括了手機型號、Android 版本資訊,以及一些可以辨認個別裝置的序號,有關的「metadata」可以非常輕易就聯繫到用戶身上。

Cirlig 甚至製作了一段影片,顯示小米瀏覽器就算在 incognito 模式,依然記錄他的搜尋項目,及根據搜尋瀏覽的網站。雖然小米曾經辯解,指瀏覽器純粹是收集不記名凡大數據作研究之用,在瀏覽器行業來說是非常常見的做法。另外部份數據則屬於帳戶同步,方便用戶在不同的小米手機之後轉換,保留自己的用戶資訊。不過,兩位研究員同樣指出,小米瀏覽器收集的資訊,包括收集用戶曾經造訪的 URLs,實在遠較 Google、Apple 等廠商的主流做法,明顯的侵犯個人私隱。

小米最初對福布斯的報導,作出以下的回應:

小米對於近日福布斯的報導感到失望,我們深信他們錯誤解讀我們的資料私隱原則及政策。用戶的私隱及網絡安全是小米的首要考慮,我們嚴格遵守及符合不同國家的法律及法規。就此,我們已與福布斯聯絡以釐清其誤解。

不過隨著事情開始發酵,小米亦在官方網站作出更詳盡的官方回應,除了多謝研究員對旗下產品的熱心參與及具建設性的提議之外,小米亦為旗下手機的預載瀏覽器,以及 Google Play 上的 Mi Browser/Mi Browser、Mint Browser 提供更新版本,在 incognito 模式中加入選項,讓用戶選擇不分享大數據收集,總算是回應了有關瀏覽器方面的問題。

除了瀏覽器之外,兩位研究員亦發現,小米手機會記錄用戶的使用習慣,當中包括曾經開啟的手機資料夾、曾經作出觸控操作的介面,甚至連小米預載的音樂播放器,亦會收集用戶曾經收聽的樂曲資訊,連播放的時間亦被記錄。而有關的數據,似乎是透過手機當中一個叫 SensorDataAPI 的手機介面,傳送到一間專門研究用戶行為習慣的中國初創 Sensors Analytics,作分析之用。

雖然小米回應確認自己是 Sensors Analytics 的客戶,不過有關的數據收集屬匿名性質,而且收集的數據只會儲存在小米自己的伺服器之上,並不會跟 Sensors Analytics 或者任何的第三方分享。這裡容許記者解釋一下,手機廠商收集用戶使用資訊,去分析用戶體驗,包括手機操作是否暢順、介面是否準確等,其實亦屬於常見的習慣,重點是收集的數據,到底是否不記名,及會否有機會洩露用戶私隱。

有關這一方面,一般的用戶實在不容易去分辨,到底自己的手機收集了什麼程度的數據,唯一可以選擇的,是將數據跟一些比較可靠的機構去分享。一般來說,Google 及 Apple 等大型企業,在用戶的個人私隱上有較嚴謹的收集要求,所以在 Android 上使用 Chrome 瀏覽器,一般應該較製造商預載的瀏覽器更加可靠。另外,Chrome 瀏覽器可以跟 Gmail 帳戶同步瀏覽記錄等資訊,假設有一日轉換手機,而且不再繼續使用同一廠商,使用 Chrome 瀏覽器、Google 日曆、通訊錄、圖片等 Apps,自然較使用製造商預載 Apps,更容易將個人資訊同步到其他裝置,繼續使用。