《福布斯》刊文称小米手机窃取用户隐私？小米回应：对其很失望

前几日，小米发布了MIUI12意在保护用户的隐私安全，其集照明弹+拦截网+隐匿面具三合一的全方位隐私守护，真正能做到对APP的监控、保护、管理。不过也因此在无形中得罪了很多软件厂商。不少网友表示，小米这次动了那么多人利益，要小心黑稿啊。果不其然，它就来了，不是来自国内而是来自国外。

01

《福布斯》刊文表示小米记录数以百万计的人们的“私人”网络和电话使用

4月30日，美国著名商业杂志《福布斯》刊登了一篇为《警告！中国移动巨头小米记录数以百万计的人们的“私人”网络和电话使用》的文章，文章称：White Ops 网络安全研究员加比·西里格（Gabi Cirlig）和福布斯安全研究员安德鲁·蒂尔尼（Andrew Tierney）分别在采访时表发现小米手机和网络浏览器正在大量窃取用户隐私，虽然小米手机廉价但是对于用户而言可能会付出高昂的代价：他们的隐私。在采访中他们是这么说的：

加比·西里格(Gabi Cirlig)在采访时，半开玩笑的说到他的新手机RedmiNote 8小米电话是“一个带有电话功能的后门，”RedmiNote 8智能手机正在观看他在手机上所做的许多事情之后，就会把这些数据随后送到由另一家中国科技巨头阿里巴巴托管的远程服务器上，而这些服务其实是小米租的。他对于自己的行为大量被跟踪表示担忧，对自己的身份和私生活暴露给这家中国公司而感到恐慌。在使用小米默认浏览器时，即使开启了“无痕”浏览模式，他访问过的所有网站，包括谷歌(Google)或专注于隐私的DuckDuckGo的搜索引擎查询甚至是小米软件的新闻提要功能上的每一项内容都会被如实的跟踪并记录下来。

02

加比·西里格录制视频揭露小米获取并发送数据的过程

此外，加比·西里格还表示RedmiNote 8还会实时记录他打开过哪些文件夹和滑动了哪些屏幕，例如切换到状态栏或者手机设置页面。记录完之后就会将所有的数据都打包发送到新加坡和俄罗斯的远程服务器，尽管它们所承载的网络域都是在北京注册的。对此，加比·西里格还制作的一段视频，视频显示他在谷歌搜索“色情”和访问PornHub网站是如何被发送到远程服务器的。

03

安德鲁·蒂尔尼发现小米浏览器在收集用户数据，涉及人数过百万

在加比·西里格采访完后，福布斯安全研究员安德鲁·蒂尔尼对此也进行了调查，调查后她表示：他还发现小米在谷歌Play上发布的浏览器--Mi Browser Pro和Mint浏览器--都在收集相同的数据。根据GooglePlay的统计数据，这两家公司的下载量总计超过1500万次。更多的数百万人可能会受到Cirlig所说的严重隐私问题的影响，尽管小米否认这是个问题。小米市值500亿美元全球四大智能手机制造商之一按市场份额计算，仅次于苹果、三星和华为。小米的大卖点是价格低廉的设备，这些设备与高端智能手机有许多相同的品质。但对于客户来说，这种低成本可能会带来高昂的代价：他们的隐私。

04

加比·西里格也认可安德鲁·蒂尔尼的看法并进行了测试

对此加比·西里格认为，这些问题影响的模型比他测试的要多得多。他下载了其他小米手机的固件--包括小米MI 10、小米Redmi K20和小米米混合3设备。然后，他证实它们有相同的浏览器代码，使他怀疑它们有同样的隐私问题。

05

托马斯·布鲁斯特表示小米何将数据传输到服务器上似乎也存在问题

该文章发表人“福布斯”副托马斯·布鲁斯特（Thomas Brewster）表示：小米如何将数据传输到服务器上似乎也存在问题。尽管这家中国公司声称，为了保护用户隐私，这些数据在传输时被加密了，但加比·西里格发现，通过解码一大块信息，他很快就能看到从他的设备中获取的信息，而这些信息被一种很容易破解的编码形式所隐藏，即所谓的base 64。只花了几秒钟，加比·西里格就把这些乱七八糟的数据转换成可读的信息块。最后加比·西里格警告说：“我对隐私的主要关注是，发送到服务器的数据可以很容易地与特定用户关联。”

06

他们解释小米肆无忌惮地收集用户隐私是为了更好地理解用户的行为

而对于小米为何要这样肆无忌惮地收集用户隐私，他们是这样说的：小米收集数据的另一个原因似乎是：更好地理解用户的行为。它使用的是一家名为“传感器分析”的行为分析公司的服务。这家中国初创企业自2015年成立以来，已经筹集了6000万美元的资金，最近一次是在纽约私人股本公司华平(Warburg Pincus)领导的一轮融资中筹集到4400万美元，该公司还包括红杉资本中国(Sequoia Capital China)的资金。Pitchbook是公司资金的追踪者，正如Pitchbook中所描述的那样，传感器分析公司是“深入用户行为分析平台和专业咨询服务的提供者”。它的工具帮助客户“探索指标背后隐藏的故事，探索不同企业的关键行为”。

07

加比·西里格和安德鲁·蒂尔尼证实小米是“传感器分析”获取用户信息

Cirlig和Tierney都发现，他们的小米应用程序正在将数据发送到似乎引用传感器分析的领域，包括反复使用SA。当单击其中一个域时，该页面包含一个句子：“传感器分析已经准备好接收您的数据了！”有一个名为SensorDataAPI的API--一个API(应用程序编程接口)是允许第三方访问应用程序数据的软件。小米也被列为客户传感器数据网站.传感器数据的创始人兼首席执行官桑文锋在跟踪用户方面有着悠久的历史。在中国互联网巨头百度，他为百度用户建立了一个大数据平台。

08

小米承认与这家初创公司的关系

小米的发言人也承认了与这家初创公司的关系，“虽然传感器分析为小米提供了一种数据分析解决方案，但收集到的匿名数据存储在小米自己的服务器上，不会与传感器分析公司或任何其他第三方公司共享。”

在研究后期，Cirlig还发现，小米手机上的音乐播放器应用程序正在收集有关他的听力习惯的信息：播放了哪些歌曲以及何时播放。有一个信息对研究者来说很清楚：当你在听的时候，小米也在听。

09

小米回应否定Cirlig和Tierney的指控，并表示对《福布斯》很失望

自此，经过长篇大论的佐证与概述，《福布斯》就是实锤小米在窃取用户的隐私来谋取商业利益了。对此，小米表示在小米安全技术人员的测试并未检测出这种情况，其中对于Cirlig和Tierney所指出的小米浏览数据是以匿名方式记录数据的问题，小米表示否认。对于《福布斯》的无端指控小米更是表示非常失望。小米深信他们错误解读了我们的用户隐私安全守则和政策。

小米一直致力于保护用户的隐私及网络安全，小米也一直严格的在遵守并符合各地市的法律法规，并未做出这样的行为。为此小米还在外网公开了自己的源代码，证明上次的数据有随机Token保证进行数据分析而不是暴露隐私。目前小米也在积极的联络《福布斯》以澄清事实解开误会。对此，大家是怎么看的呢？

单选 | 你认为小米有恶意窃取用户隐私吗？

10

往期推荐：

苹果A13VS麒麟990上手体验没区别，但性能上却是天差地别！

小米MIUI 12立大功：一颗“照明弹”让“妖魔鬼怪”无所遁形