小米被爆在MIUI中详细收集用户数据包括系统设置甚至收听过的音乐等
山外的鸭子哥 据外媒报道有安全研究人员针对小米设备的数据通信等进行分析,然而分析结果却远远超出安全研究人员的意料。
分析显示小米会详细收集用户的各种数据,甚至连状态栏和设置菜单的打开频次都会记录并回传到小米服务器上。
同时诸如音乐等系统预装应用也会详细的记录用户信息并回传,例如默认音乐播放器会回传用户收听过哪些歌曲。
更让人担忧的是甚至在小米浏览器里开启隐身模式搜索内容,其搜索关键词还是会被直接上传到小米服务器保存。
小米承认确实收集相关使用数据:
针对安全研究人员的分析小米并未否认会收集相关数据,小米表示该公司需要收集这些数据来改善小米相关服务。
小米表示为提供最佳用户体验、增强操作系统与应用程序间的兼容性,该公司会先经过用户同意后收集此类数据。
这里的经过用户同意主要指的是 MIUI 米柚系统初始化使用时需用户同意相关协议,如果不同意的话则无法使用。
被收集的数据包括:系统信息、默认设置、用户界面功能使用情况、响应、性能、内存使用情况以及崩溃报告等。
该公司强调所有被收集的数据也都是经过匿名化处理的,也就是不会将包含用户身份信息的数据上传小米服务器。
例如使用小米浏览器会上传用户的浏览记录,但这些浏览记录经过脱敏所以无法归因到特定设备或者特定的用户。
小米否认隐身模式还收集数据:
研究人员揭示的另一个问题是小米浏览器隐身模式下还上传数据,正常情况下隐身模式是不应该存储任何数据的。
不过针对这个问题小米表示是研究人员的测试存在问题,隐身模式下搜索任何关键词包括色情内容都不会被上传。
而普通模式下小米收集的用户浏览情况也是通过加密发送到小米服务器的,也不会因中间人攻击等泄露用户数据。
所以用户使用小米浏览器的隐身模式是足够安全的,该隐身模式与其他浏览器提供的隐身模式并没有太大的区别。
数据被共享给神策数据(Sensors Analytics)问题:
最后研究人员发现小米会在其系统中集成初创公司神策数据的分析工具,该公司主要提供大数据用户行为分析等。
小米表示基于合规性考虑该公司将其在国际市场销售的设备存储的数据托管在阿里巴巴新加坡和俄罗斯数据中心。
其托管服务器为小米公司控制,同时 MIUI 收集的数据也只会存储在小米名下的服务器,并不会共享给神策数据。
小米认为在经过用户同意后收集此类数据是可被允许的,至于数据处理也按小米隐私政策中的描述进行共享处理。
对于可能牵涉用户隐私的内容不会被共享,只有那些已经经过脱敏且无法归因到特定设备和用户的数据才会上传。
