Kiinalainen puhelinjätti Xiaomi joutui viime viikon lopulla pienimuotoisen kohun keskelle. Forbesin artikkelin mukaan yhtiö kerää käyttäjän yksityisyyttä rikkovaa dataa paitsi puhelimissaan, myös sovelluksissaan.
Forbesin artikkeli lähti liikkeelle tietoturvatutkija Gabi Cirligin yhteydenotosta. Cirligin mukaan Xiaomi Redmi Note 8 keräsi poikkeuksellisen paljon dataa ja lähetti ne Venäjällä ja Singaporessa sijatiseville palvelimille. Palvelimet ovat Xiaomin Alibabalta vuokraamia. Cirlig ainakin epäilee ongelman koskevan myös muita malleja, kuin vain Redmi Note 8:a.
Forbesin yhteydenoton myötä asiaa tutki myös toinen tietoturvatutkija, Andrew Tierney. Tierney varmisti, että molemmat Xiaomin Googlen Play-kaupassa ladattavissa olevat selaimet, Mi Browser Pro ja Mint Browser, keräävät käyttäjädataa ja lähettävät sitä eteenpäin. Data on salattua, mutta ainakin Cirlig kykeni helposti lukemaan base64-enkoodatun lähetyksen ja tarkistamaan lähtevän datan sisällön.
Xiaomi on julkaissut asian pohjalta oman tiedotteensa blogissaan. Blogiin on lisätty myös päivityksiä jälkikäteen asian etenemisen tienoilta. Yhtiön mukaan se on pettynyt Forbesin alkuperäisartikkeliin, uskoen toimittajan ymmärtäneen heidän vastauksensa väärin. Tästä riippumatta yhtiö haluaa alleviivata, että käyttäjien yksityisyys ja internetin tietoturva ovat sille tärkeimpiä arvoja.
Korostaakseen omaa näkemystään yhtiö julkaisi seikkaperäisen selvityksen keräämästään datasta. Xiaomi kertoi keräävänsä yleistä dataa sovellusten käytöstä, missä on tietoa käyttöliittymän käyttötavoista, vasteajoista, suorituskyvystä ja muistinkäytöstä sekä kaatumisraportteja. Nämä kerätään sekä selainten normaalissa että incognito-tilassa. Esimerkiksi sivustojen osoitteita käytetään tapauksissa, missä huomataan tiettyjen sivustojen latautuvan epätavallisen hitaasti. Data anonymisoidaan eikä sitä voida yhtiön mukaan liittää tiettyyn käyttäjään.
Toinen osuus koskee selaintietojen keräystä. Yhtiön mukaan niitä kerätään, kun käyttäjä on kirjautunut Mi-tililleen ja selaimen asetuksista on datan synkronointi käytössä. Selaintietoja ei kerätä incognito-tilassa.
Yhtiö kiistää tietoturvaongelmat sen datankeräyksen suhteen ja esittelee blogissaan neljä erillistä sertifikaattia, jotka varmistavat tiedonkeruuketjun tietoturvallisuuden (ISO27001:2013, ISO27018:2014, ISO29151:2017 ja TRUSTe). Se myös kiistää Forbesin artikkelissa esitetyn väitteen, että dataa lähetettäisiin edelleen Sensor Analyticsille, mikä tarjoaa datan analysointipalveluita.
Yhtiön mukaan se kunnioittaa ja noudattaa kansainvälisesti kunkin maan lakeja tiedonkeruun ja yksityisyyden suhteen. Helpottaakseen asiakkaidensa huolta, yhtiö on nyt lisännyt kummankin selaimen uusimpiin versioihin (Mi Browser (Pro) 12.1.4, Mint Browser 3.4.3) on lisätty kytkin, jolla käyttäjä voi kytkeä yleisen datan keräyksen pois käytöstä incognito-tilassa. Uudet versiot on jo lähetetty hyväksyttäviksi Googlen Play-kauppaan. Uutiseen on liitetty lisäksi yhtiön Intian siiven toimitusjohtajan video asian tiimoilta. Myös muut valmistajat keräävät huomattavasti dataa käyttäjistään, mutta tyypillisesti käyttäjän on erikseen hyväksyttävä tämä.
Korjattakoon sen verran, että base64 ei ole salaus vaan biinäärimuotoisen datan uudelleenkoodaus.
UUID-tunniste nollautuu vain, kun sovellus asennetaan uudelleen eli normaalitilassa selailu menee iloisesti yhteen incognito-tilan kanssa.
Eussa on myös data kerättävä Euroopassa olevalle palvelimelle, tästähän oli Nokia vaikeuksissa kun Singaporen palvelinta käytti.
HMD Global moves its Nokia data servers to Finland – Gizmochina
http://www.gizmochina.com
Jännästi on koko base64 ja salaus mainittu alkuperäisessä artikkelissa, kuitenkaan sitä HTTPSää ei ole saatu helposti murrettua?
Eiköhän siinä ole oma kotiverkko kyseessä ja liikenne kulkee jonkin proxyn läpi? Burp suiten tai vastaavan kuva taisi olla se mistä se data_list oli poimittu.
Ei varmaankaan tullut yllätyksenä kovinkaan monelle, että Xiaomi seuraa käyttäjiä.
Sinänsä tämä tietojenkeruu on harmillista ja moitittavaa, mutta kontekstin antamiseksi olisi varmaan hyvä todeta mitkä muut tahot tekevät samaa. Esim. google taitaa kerätä aika samanlaista dataa chromen käyttäjiltä?
Eipä tule Chrome käytettyä. Todella inhottava ajatus, että pitäisi käyttää aina incognito tilaa ettei tietoa vuotaisi ja kenties sekään ei auta. Eritoten tuokin mitä hakukoneeseen kirjoitetaan. Joku saa sitten kiksit mun rainbow dash fantasioista.
Jos Google-tilille kirjautuu, niin data liikkuu aikalailla samalla tavalla kuin Xiaomilla. Xiaomi näyttää kuitenkin keräävän tietoja myös ilman kirjautumista toisin kuin Google. Lisäksi Google antaa mahdollisuuden disabloida anonyymin käyttäjädatan välittämisen. Xiaomi ongelma on, että dataa kerätään, vaikka käyttäjä ei anna siihen lupaa.
katso liitettä 382727
katso liitettä 382725
Ainakin tässä on taas yksi syy lisää asentaa Xiaomiin custom ROM sisään.
Toki kerää, mutta se lukee käyttäjäehdoissa, eikä Google ei tallenna tietoja incognito-tilassa. Oletattavaa on, että jokainen Googlen tuotteiden käyttäjä tietää, mihin suostuu käyttäessään tuotteita. Tietojenkeruussa ei ole mitään pahaa, jos kohteena oleva henkilö on tietoinen tietojenkeruusta, ja hyväksyy sen. Ilmaisia tuotteita, kuten Chromea ja Androidia ei olisi olemassa, jos Google ei tekisi voittoa niiden keräämällä käyttäjädatalla.
Halpa tai ilmainen = Tietojenkeruu. Näin se vaan yleesä menee, ainakin jos tuote on voittoa tavoittelevan yrityksen luomus.
Ja Googlellakin tuntuisi nuo käyttöehdot muuttuvan harva se kuukausi. Muutenkin Google on omissa silmissäni siirtynyt pikkuhiljaa sinne pahisten puolelle koska en vain jaksa uskoa että sitä suurta valtaa ei käytettäisi väärin. Hetki meni siirtyä Firefoxiin, mutta nyt se onkin sitten käytössä joka laitteella. Google-hakunäppäimen kun vielä saisi tuosta anterosta vaihdettua, niin tilanne olisi jo ihan siedettävä.
Eipä tarvi näitäkään luureja enään käytellä eikä suositella.. MiUi+kyseinen uutinen=yhtäkuin paska luuri enkä käyttäisi vaikka siitä maksettaisiin.
Paitsi kun kiinalainen agentti tulee kylkeen sanoo, että tiedämme sinusta kaiken ja jos et tee niin kuin me haluamme niin…
^Niin, levittäähän ihmiset tietojansa naamakirjassakin ja vieläpä vapaaehtoisesti. Myös omat ja läheisensä ja kavereiden kuvat nimien ja muun kanssa. Se on jopa vielä pahempaa, koska silloin naamansa menettäneet eivät olekaan enää anonyymejä vaan täysin tunnistettavissa miljoonien eri valvontakameroiden kautta missä ikinä sitten liikkuvatkaan.
Se riippuu vähän siitä, miten Xiaomi dataa käyttää ja kenelle se lopulta päätyy. Jos Xiaomi välittää dataa kolmansille osapuolille (esim. uutisessa mainittu Sensor Analytics), niin aika helposti siitä saadaan louhittua mielenkiintoisia yksityiskohtia. Alla esimerkki Facebookista:
Datalle löytyy halukkaita ottajia, eikä kukaan voi lopulta tietää, miten sitä käytetään. Suuren datamäärän perusteella voidaan selvittää esimerkiksi henkilön terveydentila, josta vaikka työnantaja voi olla kiinnostunut rekryttävän henkilön kohdalla.
painottaen sanaa.
vapaaehtoisesti
Mutta eivät kuitenkaan kaikki siellä ole, ne jotka eivät niin jakavat sitten tietojaan tälläisen paskan Xioamin kautta tietämättään.
Ja turha yrittää puolustella vaikka kuinka olisi nyt se Xiaomin luuri siellä taskussa.
Pornonkatseluhistoriastasi voi tulla kiristyksen väline, Kiinan hallistus voi hyödyntää kerättyjä tietoja Uiguurin vainoamiseen ja 10 vuotta sitten tehty polvileikkaus voi nostaa uuden tapaturmavakuutuksesi hintaa. Internet-historiasi voi myös paljastaa poliittisen kantasi, minkä johdosta poliittisiin mielipiteisiisi voidaan pyrkiä vaikuttamaan räätälöidyllä propagandalla. Niinkin on tehty, ja se oikeasti toimii. -Ainakin sopivien ihmisten kohdalla.
Henkilökohtaisia tietoja voidaan väärinkäyttää usealla eri tavalla, joten tietojenkeruun tulee aina olla läpinäkyvää. Kuluttajan tulee aina tietää, mitä tietoja hänestä kerätään.
Nähdäkseni Googlen isoin ongelma on siinä, että Google on saavuttanut lähes monopoliaseman, ja monopoli on aina huono asia kuluttajalle. Ilmaisiin tuotteisiin nojaava markkinointitaktiikka on nerokas. Ilmainen tuote menestyy kallista tuotetta paremmin, vaikka tietojenkeruu ja mainonta tuottaisivatkin rutkasti rahaa ilmaisen tuotteen tekijälle.
Ei oo, ei tuu. Liika sekava mallisto.
Tosin viimesin IOTechin lähetys kirjoitti mallikirjoa ylös ja selkeytti sitä tosin tehden siitä vaan sekavamman kuin luulin sen olevankaan. Aasian markkinoille selkeesti suunnattu nuo puhelimet.
Hyvä syy ostaa jatkossakin HMD Global kapuloita ja käyttää Firefox (preview) selainta.
Heh, jos joku hymyilee leveästi ja sanoo että niiden tuotteet on 100% turvallisia, niin henkilökohtaisesti kiertäisin kaukaa. Ensinnäkään ei ole olemassa 100% turvallista nettiin liitettävää laitetta.
Viestissä #3 on ainakin Mi A1 puhelinmallina, mutta ilmeisesti Xiaomin selain. Itse en Xiaomin selainta käytä, käytössä on Firefox Focus ja Chrome asennettu varalle, mutta ei yleensä käytössä.
Keskustelu aiheesta ei kuitenkaan jälleen kerran valitettavasti liiku tietoturvan ja yksityisyyden ympärillä, millä rehellisesti sanoen tuskin on kellekään esim. Whatsappia tai Facebookia käyttävälle merkitystä, vaan vanhanliiton USA vastaan Kiina/itä asettelun ympärillä. Moni näemmä pelkää Kiinan nousua mahtivaltioksi, mitä se tosin on monella tapaa jo pidempään ollut, muttei voi käsittää vaan sitä miten katsotaan länsimaiden samat touhut läpi sormien tuosta vain. Minä en ole kenenkään puolella tai ketään vastaan, mutta moni on hanakka valitsemaan tiukasti puolensa näissä asioissa. Muistutan myös ettei asian tekeminen läpinäkyvämmin tai jonkun epäselvän täpän kanssa poista ongelmaa, kun kaiken päälle ne eivät aina oikeasti edes muuta mitään. Esimerkiksi vaikka kaikki mahdolliset täppäilet Androidissa pois Googleen liittyen, niin mikki kuuntelee puhettasi ja ties mitä muuta, jolloin Youtube suosittelee sinulle asioita mistä olet sattunut ääneen puhumaan, myös sen perusteella missä olet käynyt ja kaikkea tällaista. Ei tuo ihan tervettä ole ja tähän näemmä syyllistyy nyt koko maailma, vaan se on ongelma yhden kohdalla muttei toisen. Ei ehkä niin yllättävää jos USA:ssa ollaan huolissaan Kiinan noususta (katso uutisen taulukko), mutta yllättävää jos täällä Suomessakin on joillakin asenne että "älä koske mihinkään kiinalaiseen". Tuohan on sitä aitoa foliohattuilua vai onko Kiina muuttunut joksikin aseelliseksi uhaksi ja kommunismiaan väkisin levittäväksi tahoksi täysin huomaamatta?
Nykyään vakoilu ja kaiken mahdollisen tiedon kerääminen on suurvaltojen keino pitää naruista kiinni, eivätkä ne ole luovuttamassa asian suhteen. Onneksi on sentään eri sovelluksia ja jippoja millä sitä voi minimoida.
Häkellyttävin järkytys on se että Xiaomi on tehnyt tähän asti oikeasti edukkaita ja päteviä laitteita asiakkaille, mutta kaikki saadaan kyllä käännettyä firmaa vastaan nopeasti. Valkopesu, mustamaalaus, ikuinen selittely, nämä vallitsevat lännessä kovin vahvoina, mutta niiden läpi ei joko osata tai haluta nähdä kuuna päivänä. Suosittelenkin siis ettei lähde sokeasti ottamaan puolia näissä asioissa vaan miettii todelliset hyödyt ensin ja punnitsee harkiten onko uhkia olemassa ja millaisia ne ovat laadultaan. Puhelinten saralla kun vakoilusta ei kuitenkaan tällä viisiin eroon pääse, ainakaan ilman ROM:ien asentelua ja sen sellaista.
Toivottavasti Sailfish OS nousee vielä.
Eivät nuo oikein konkreettisia riskejä ole mielestäni.
Pari juttua, jotka kannattaa sinunkin huomioida:
Siis, valitsetko ihmisoikeuksia polkevan autoritarismismin tukemisen, monopolin pönkittämisen, vai hippi-omenalle maksamisen? Itse olen ainakin kyllästynyt hyvien vaihtoehtojen vähyyteen. Siitä voimme olla yhtä mieltä, että toivottavasti Jolla menestyy!
Oletko nähnyt tähän liittyen jonkin tutkimuksen tai artikkelin? Minun käsittääkseni mikrofonin voi kytkeä pois päältä samoin kuin personoidut suositukset. Kaikkea Googlen keräämää dataa ei varmaankaan voi blokata mutta "Toimintojen hallinta" -sivulta voi kytkeä juuri näitä käyttötietojen keräämisiä pois.
Google on tiedonkeruunsa suhteen varmasti isompi tekijä kuin Xiaomi (pelkästään Googlen digimarkkinoinnin liikevaihto on samaa luokkaa kuin Xiaomin koko liikevaihto) mutta Google tekee tietojen keräämisen aika avoimesti toisin kuin Xiaomi. Sinällään Xiaomi-kohulla ei liene juuri vaikutusta, kun suuri osa käyttäjistä jakavat tietonsi muutenkin vapaaehtoisesti ja hyväksyvät tietosuojalausekkeet lukematta niitä. Käyttäjälle pitää kuitenkin antaa mahdollisuus tutustua siihen, miten tietoja kerätään eikä kerätä tietoja ilman lupia kysymättä.