小米多款手机被指监控用户、收集私密数据，小米均否认

本篇文章2542字，读完约6分钟

当这位安全研究员在小米智能手机的默认小米浏览器上浏览网页时，浏览器记录了他访问过的所有网站，包括谷歌(Google)和duckduckgo上的搜索引擎查询，以及小米新闻订阅功能上查看的所有项目。文章来源:腾讯科技，陆瑾修改。

据外国媒体报道，5月2日，小米最近针对小米总是从使用其手机和网络浏览器应用的用户那里收集私人数据的指控发表了反驳。小米表示，这些研究报告不够真实，隐私和安全是该公司的头等大事。小米严格遵守并完全遵守当地关于用户数据隐私的法律法规。

此前，《福布斯》(forbes)杂志发表了几位安全研究人员提交的报告，称小米正在收集手机用户的网络历史记录和电话数据，如“用于识别特定设备和安卓版本的唯一号码”，这些号码可以与设备用户联系起来。数据和身份号码的结合使小米能够将收集到的所有数据与个人联系起来。安全研究员加比[/h/

Sirig发现，他的redmi note 8智能手机监控着他在手机上做的大部分事情，数据被发送到阿里巴巴托管的远程服务器，这些服务器被小米租用。Sirig是一位经验丰富的网络安全研究员，他发现“他的行为被跟踪的程度令人担忧，各种设备数据也被收集起来。”这让他非常担心自己的身份和私生活可能会被曝光。

当他在小米智能手机默认的小米浏览器上浏览网页时，浏览器记录下了他访问过的所有网站，包括谷歌(Google)和duckgo上的搜索引擎查询，以及小米新闻订阅功能上查看的所有项目。即使在匿名模式下，Sirig也被录制。他的智能手机还记录了“他打开了哪些文件夹，刷了哪些屏幕，包括状态栏和设置页面。”

安德鲁 Thirny，另一个网络安全研究员，也做了一项调查。他发现，小米的浏览器mi browser pro和谷歌play上发布的mint浏览器也在收集同样的数据。根据google play的统计，这两个平台的总下载量超过了1500万次。Sirig称这是一个严重的隐私问题，而小米“否认存在问题。”目前，小米是全球第四大智能手机制造商，仅次于苹果、三星和华为。

Sirig声称这个问题实际上影响了比他测试的模型更多的模型。他下载了小米10、小米k20和小米mix 3等小米设备的固件，并确认它们的浏览器代码相同。这让他怀疑他们有同样的隐私问题。

另一个问题是“小米如何向其服务器传输数据。”尽管小米声称“为了保护用户的隐私，数据在传输过程中是加密的”，但Sirig发现，通过解码一段隐藏在易于破解的代码(即base64)中的信息，他可以很快看到从他的设备中窃取的内容。Sirig只用了几秒钟就“把乱码数据变成了可读的信息块”。他警告说:“我最担心的隐私问题是，发送到他们服务器的数据很容易与特定用户相关联。"

Sirig和Thirny都指出，小米不仅向服务器发送网站或网络查询，还收集关于这些手机的数据，包括识别特定设备和安卓版本的唯一号码。Sirig认为，这种“元数据”很容易与屏幕背后的真实人物联系起来。他们两人在独立测试中都发现，无论设置什么浏览器模式，他们的网络习惯都会被发送到远程服务器，照片和视频会被作为证据提供。

在给小米提供Sirig制作的视频时，视频显示“他在谷歌上搜索‘色情’和访问色情网站的过程是如何被发送到远程服务器的，甚至是以匿名方式。”小米发言人“继续否认该信息被记录在案”。他们补充道:“这段视频展示了匿名浏览数据的收集，这是互联网公司通过分析非个人身份信息来改善整体浏览器产品体验的最常用解决方案之一。"

在回应上述指控时，小米表示:“这些研究声明还不够。隐私和安全是我们的首要任务。我们严格遵守并完全遵守有关用户数据隐私问题的当地法律法规。”小米公司的一位发言人证实，该公司“确实在收集浏览数据，声称这些信息是匿名的，因此不受任何身份的约束”，并表示“用户已同意进行此类追踪”。

在最近的一篇博客文章中，小米列出了大量数据操作，称它收集了诸如响应速度和性能等统计数据，这些数据不能用来识别个人。该公司还表示，如果人们在他们的设置中打开这个功能，它将同步浏览历史。该公司否认有任何不当行为，并表示福布斯误解了其数据隐私原则和政策。

小米公司希望其用户在这个困难时期保持安全。昨天，一篇关于小米隐私政策的文章发表了，其中对我们的浏览器数据收集和存储过程有一些不准确和误解。我们在以下备份文档中提供了支持我们立场的重要说明:

小米在《福布斯》上评论了最近一篇关于我们隐私政策的文章，认为这篇报道歪曲了事实。在小米，用户的隐私和安全是重中之重。我们严格遵守并完全遵守我们运营所在国家和地区有关用户隐私保护的法律法规。鉴于这些失实陈述，我们希望澄清以下几点:

1.在小米正式入驻的所有全球市场中，为了提供尽可能好的用户体验，增加操作系统和各种应用程序之间的兼容性，并承担保护用户隐私的义务，所有收集的使用数据都基于我们用户的明确许可和同意。此外，我们确保整个过程是匿名和加密的。统计数据的收集用于内部分析，我们不会将任何个人身份信息与这些数据联系起来。此外，这是全世界互联网公司采用的一种通用解决方案，用于改善各种产品的整体用户体验，同时保护用户隐私和数据安全。

2.小米在公共云基础设施上托管信息，这在行业内是常见且众所周知的。我们海外服务和用户的所有信息都存储在各个海外市场的服务器上，这些服务器严格遵守当地有关用户隐私保护的法律法规，我们也完全遵守这些法律法规。

3.在上述文章发表之前，记者给我们发了一封邮件，提出了与文章相关的问题。小米以完全透明的方式回应，并就我们的技术和隐私政策提供了详细的答案。我们认为，发表的文章没有准确反映这些通信的内容和事实。文章发表后，我们联系了记者进一步澄清这一点，目前正在讨论中，目的是迅速向他们保证我们的数据安全流程是如何工作的。

4.作为一家互联网公司，网络安全和用户隐私是小米遵守的核心原则，也是我们日常工作的基础。我们的产品、技术、性能和保护用户隐私的措施都在不断改进。在我们最新的操作系统miui 12中，我们采用了迄今为止业界最严格、最透明的隐私保护措施。为了增加透明度，我们始终欢迎公众监督、询问和基于事实的讨论，以便不断改进我们的产品和服务，为亲爱的用户和米粉。