Học viện đào tạo trực tuyến Chủ Nhật, 3 tháng 5, 2020 0 No comments

Chuyên gia tư vấn bảo mật cho Reuters là Thomas Brewster cùng một số nhà ngheine cứu khác vừa đây đã báo cáo rằng một số trình duyệt web trên smartphone của Xiaomi đã gởi dữ liệu duyệt web của người dùng tới server của họ. Các thông tin được gởi đi bao gồm cả lịch sử duyệt tất cả các trang web, URLs, toàn bộ các lệnh truy vấn tìm kiếm, tất cả những items được xem trên news feed của Xiaomi và cả metadata của thiết bị. Đáng chú ý hơn, việc lấy thông tin này được thực hiện kể là người dùng mở bình thường hay duyệt web ẩn danh.

Theo đánh giá của các chuyên gia, việc thu thập dữ liệu này được tiến hành trên các trình duyệt stock cài sẵn theo giao diện MIUI cũng như Mi Browser Pro và Mi Browser vốn có thể tải về từ Google Play Store. Hiện các trình duyệt này đã có hơn 15 triệu lượt tải về từ Play Store còn trình duyệt stock sẽ tính theo số lượng máy được bán ra tới người dùng bởi cứ mua là tính thôi. trong thử nghiệm, nhóm chuyên gia đã test các máy như Xiaomi Redmi Note 8, Xiaomi Mi A1, Xiaomi Mi 10, Xiaomi Redmi K20 và Xiaomi Mi Mix 3. Bất kể là Android One hay MIUI thì các đoạn code thu thập dữ liệu đều xuất hiện bởi nó nằm trong trình duyệt mặc định. Nói cách khác, không cần biết bạn chạy giao diện MIUI hay hệ điều hành là gì, chỉ cần một trong số 3 trình duyệt này là bị.

Trong khi đó, các trình duyệt khác như Google Chrome hoặc Safari thu thập rất ít dữ liệu, chủ yếu để phân tích sự cố và cực kỳ hạn chế sử dụng. Trước thông tin lần này, phía Xiaomi xác nhận rằng các dữ liệu duyệt web được thu thập nhưng hoàn toàn nằm trong phạm vi luật pháp sở tại và quy định bảo mật thông tin của người dùng. Các thông tin thu thập đều có sự đồng thuận của người dùng và được ẩn danh hóa. Tuy nhiên, khi được hỏi về báo cáo của các nghiên cứu lần này thì Xiaomi phủ nhận hoàn toàn.

Công ty nói rằng "các tuyên bố của nghiên cứu là sai sự thật. Quyền riêng tư và bảo mật luôn được công ty đặt lên hàng đầu. Đoạn video mà nghiên cứu công bố chỉ là thu thập những dữ liệu ẩn danh, vốn là một trong những giải pháp phổ biến nhất được dùng bởi các công ty internet nhằm cải thiện tổng thể trải nghiệm duyệt web thông qua việc phân tích dữ liệu phi định danh và không cá nhân."

Tuy nhiên, các nhà nghiên cứu nhận định rằng tuyên bố của Xiaomi về tính ẩn danh khi thu thập dữ liệu là khá mơ hồ. Các dữ liệu mà công ty gởi về máy chủ được nói là "Đã mã hóa" nhưng nó được mã hóa base64 vốn có thể giải mã một cách dễ dàng. Các dữ liệu duyệt web vốn có thể được giải mã một cách khá đơn giản và đồng thời, việc thu thập dữ liệu còn bao gồm luôn cả metadata của thiết bị, các dữ liệu này có thể dễ dàng được dịch ra thành dữ liệu cá nhân của người dùng mà không cần mất quá nhiều công sức.

Hơn nữa, các nhà nghiên cứu phát hiện rằng các trình duyệt của Xiaomi đã ping về các tên miền có liên quan tới Sensors Analytics, một startup của Trung Quốc còn được biết tới với tên gọi Sensors Data, vốn chuyên cung cấp các dịch vụ phân tích hành vi người dùng. Các trình duyệt của Xiaomi còn được phát hiện là có chứa các hàm API gọi là SensorDataAPI, đồng thời Xiaomi cũng được liệt kê trong danh sách khách hàng trên web của Sensors Data.

Phản ứng nhanh với bài viết của Forbes, Xiaomi nói rằng "Sensors Analytics cung cấp giải pháp phân tích dữ liệu cho công ty, thông qua việc thu thập dữ liệu ẩn danh lưu trên các máy chú của Xiaomi và không chia sẻ cho Sensors Analytics hoặc bất cứ công ty bên thứ 3 nào." Trước phản ứng này, các nhà nghiên cứu tiếp tục phản pháo thông qua các thí dụ cụ thể như bên dưới.

Thông báo chính thức từ Xiaomi

Sau đó không lâu, Xiaomi đã đăng cả một bài tuyên bố dài trên Blog của công ty để phản đối mạnh mẽ các kết luận của nhóm nghiên cứu lần này.

"Xiaomi rất thất vọng khi đọc báo cáo mới đây trên Forbes. Chúng tôi cảm thấy có sự hiểu lầm về cách mà chúng tôi truyền đạt các nguyên lý và nguyên tắc về quyền riêng tư. Quyền riêng tư của người dùng chúng tôi và bảo mật của internet là ưu tiên hàng đâu của Xiaomi; chúng tôi tự tin rằng đã tuân thủ chặt chẽ và hoàn toàn đáp ứng đủ các quy định pháp luật địa phương. Chúng tôi đã tìm tới Forbes để yêu cầu làm sáng tỏ về sự giải thích sai đáng tiếc này".

Theo đó, công ty xác nhận rằng họ cso thu thập dữ liệu thống kê tổng hợp, bao gồm thong tin hệ thóng, sở thích, việc sử dụng các tính năng giao diện, phản hồi, sử dụng bộ nhớ và báo cáo sự cố của người dùng. Xiaomi chỉ ra rằng không hề được sử dụng để định danh bất cứ cá nhân nào. Xiaomi thừa nhận URLs được thu thập nhưng chỉ nhằm mục đích xác định các trang web bị tải chậm, từ đó tìm cách cải thiện hiệu suất duyệt web tốt nhất.

Tiếp theo, Xiaomi chỉ ra rằng dữ liệu lịch sử duyệt web của từng cá nhân đã được đồng bộ hóa nhưng chỉ được thực hiện khi "người dùng đồng ý trong Mi Account… và tính năng đồng bộ hóa dữ liệu được "bật" trong Setting". Công ty phủ nhận việc các dữ liệu duyệt web (riêng so với các dữ liệu tổng hợp kể trên" được đồng bộ hóa ngay cả khi người dùng duyệt bằng chế độ ẩn danh.

Công ty đã cho đăng tải screenshot các đoạn code từ một trong số các trình duyệt web của họ (không nói rõ là trình duyệt nào) để chứng minh cho điều đó. Theo Xiaomi, đoạn code đầu tiên cho thấy phương pháp dịch ngược "để tạo ngẫu nhiên ra các token duy nhất sử dụng với tập dữ dữ liệu thống kê tổng hợp." Xiaomi tuyên bố rằng các token này không hề tương ứng với bất kỳ cá nhân nào.

Xiaomi nói thêm rằng các đoạn mã tiếp theo là mã nguồn của trình duyệt và cho thấy phương thức Trình duyệt Mi hoạt động ở chế độ ẩn danh, lúc mà không có dữ liệu duyệt web nào của người dùng được đồng bộ hóa.

Đoạn mã thứ 3 chứng minh rằng số liệu thống kê việc sử dụng tổng hợp mà Xiaomi thu thập được chỉ được lưu trữ trên tên miền Xiaomi và không hề được chuyển sang Sensor Analytics.

Đoạn mã thứ tư cho thấy việc sử dụng dữ liệu người dùng được truyền đi bằng giao thức HTTPS mã hóa TLS 1.2.

Cuối cùng, Xiaomi đã viện dẫn ra 4 chứng chỉ phần mềm của họ được cấp bởi TrustArc và British Standard Institution (BSI).

Phản ứng lại trước bài đăng này của Xiaomi, nhà nghiên cứu bảo mật đã viết một tweet trên Twitter, phủ nhận tuyên bố của Xiaomi. Ông chỉ ra rằng ông và nhiều người khác đã tái xác nhận trên nhiều thiết bị khác nhau và "không nghi ngờ gì nữa, trình duyệt Mint Browser đã gởi các từ khóa tìm kiếm và URLS ngay cả trong chế độ ẩn danh." Ông còn chỉ ra rằng các đonaj code mà Xiaomi đăng tải lên không hề chứng minh được tính ngẫu nhiên và duy nhất của các token vốn không thể liên quan tới bất cứ cá nhân nào. Các nhà nghiên cứu còn lưu ý rằng UUID sẽ tồn tại qua các sessions và chỉ thay đổi khi trình duyệt được cài lại. Bất kể là Xiaomi có lưu dữ liệu người dùng trên máy chủ của họ hay nơi nào khác thì cũng không phải là vấn đề đối với các nhà nghiên cứu. Thêm vào đó, các nhà nghiên cứu cũng chỉ ra rằng Xiaomi từng bị cáo buộc gởi dữ liệu đến các máy chủ từ xa thông qua giao thức không an toàn.