安全研究员Gabi Cirlig发现,他的Redmi Note 8使用习惯已被跟踪并发送到小米租用的新加坡和俄罗斯阿里巴巴托管的服务器上。这包括他在手机上打开的文件夹,他刷过的屏幕(包括状态栏和设置菜单)。似乎还不够,小米甚至使用Redmi手机上的默认音乐播放器来跟踪Cirlig正在收听的音乐。
安全研究人员还发现,每当他使用小米的默认浏览器应用程序浏览网络时,它都会记录他访问过的所有网站,搜索引擎查询以及在浏览器新闻源上查看的项目的记录。更令人担忧的是,即使在浏览器中使用隐身模式,行为仍会继续。安全研究人员在其他小米手机以及包括Redmi K20,Mi 10和Mi Mix 3之类的高级型号中发现了相同的跟踪代码。
另一位安全研究员安德鲁·蒂尔尼(Andrew Tierney)在小米的Mi Browser Pro和Mint Browser中发现了相同的行为,这两种行为均可在Google Play商店中购买,下载量总计超过1500万。更令人担忧的是,尽管小米声称出于安全原因对数据进行了加密,但Cirlig发现他很容易就能解码并从中找到可读信息。
当被《福布斯》(Forbes)联系时,小米确实确认它正在收集用户的浏览数据,尽管出于隐私原因将其匿名化。它还声称用户同意跟踪其浏览历史记录。但是,该公司否认在浏览器中使用隐身模式时正在跟踪数据。
当福布斯向小米提供由Cirlig制作的视频时,即使是在隐身模式下,该视频也显示了他的Google搜索“色情”内容和对PornHub网站的访问是如何发送到远程服务器的,该公司发言人继续否认信息被记录。他们补充说:“该视频显示了匿名浏览数据的收集,这是互联网公司通过分析非个人可识别信息来改善整体浏览器产品体验的最常见解决方案之一。”
小米似乎正在收集数据以了解用户的行为。该公司已与中国初创公司Sensors Analytics合作,后者提供“深入的用户行为分析平台和专业的咨询服务”。小米证实了与Sensor Analytics的关系,尽管它指出所有收集的数据都存储在其自己的服务器上,并且未与任何第三方公司共享。
更新:小米就整个事件发表了新的声明。该公司表示,其原始通信被“误解了”,用户的隐私和互联网安全是其首要任务。它指出,在隐身模式下,用户的浏览数据不会同步,但会收集汇总的使用情况统计信息。它还发布了代码的相关屏幕截图作为证明。该公司将汇总的使用情况统计数据用于内部分析,这是许多Internet公司的常用方法。对于小米收集的任何数据,请确保它们是匿名的和加密的。