先日、Forbesは報じたレポートによると、Xiaomiはユーザーがデバイス上で行なっている操作(訪れたWebサイト、開いたフォルダ、スワイプした画面など)を記録し、アリババのサーバーに送信していたことが明らかになりました。
これを発見したのは、セキュリティ研究者のGabriel Cirlig氏。
彼は、「Redmi Note 8」にて上記のことを発見し、ユーザーが「シークレットモード」を使用していても追跡が行われているとみています。
また、XiaomiがGoogle Playにてリリースしている「Mi Browser Pro」や「Mint Browser」でも同様のデータ収集を行なっていることを判明。
さらに、「Xiaomi Mi Note 10」「Xiaomi Redmi K20」「Xiaomi Mi MIX 3」の3端末からもファームウェアをダウンロードし、ブラウザに同じコードが使用されていることも判明。
これらの報道を受け、Xiaomiは5月2日に公式声明を発表。
Xiaomiは、システム情報、設定、ユーザーインターフェイス機能の使用状況、応答性、パフォーマンス、メモリ使用状況、およびクラッシュレポートなどのユーザーデータの収集を認めています。
検索クエリの収集については明言しなかったものの、”読み込みの遅いWebページを識別するためにURLを収集することもある。これは、ブラウジングパフォーマンスを改善するために使用している。”と説明。
また、ユーザーがMi アカウントにサイトインし、同期設定がONになっている場合のみWebの閲覧データを収集、シークレットモードでもユーザー統計データを収集していることを認めました。
(シークレットモードも統計データの一部であるとの考えは信じがたいですが、公式声明にて明言されています。)
タイトルは「Mi Browser and all Xiaomi internet services are 100% SAFE. Please DO NOT believe INCORRECT NEWS!」
(MiブラウザとXiaomiインターネットサービスは100%安全である。虚偽報道を信じないでくれ!)
彼は、Xiaomiのサービスは安心して利用することができ、シークレットモードで収集されたデータは”暗号化および匿名化”されていると繰り返しました。
Xiaomiは、声明にて限定的にユーザーデータの収集を認めたものの、同意なしには収集していないことと匿名化していることを強く強調しました。
実際、Mi Browserに限らず、Google ChromeやFirefoxなどのブラウザも少なからずユーザーデータを収集していることは確かです。
ただし、ブラウザの追跡を回避するためのシークレットモードでも追跡が行われることや検索クエリやURLまで収集されることは通常ではありません。
同社は、セキュリティ研究者の意見に的確に反論し、修正を行う場合は早くにデータ収集規約を改定する必要があるでしょう。
source(1)(2)
