欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

福布斯爆小米浏览器追踪用户隐私

e6e9fdb1a932f3282020-05-0599漏洞

福布斯爆小米追踪用户隐私

Forbes网站4月30日报道称,安全研究人员Gabi Cirlig发现小米浏览器应用会发送用户的互联网搜索记录到小米位于俄罗斯和新加坡的服务器,包括无痕模式(隐私模式,incognito mode)的会话数据。Cirlig称,发送的数据可以很容易地与特定的用户关联起来,以实现用户追踪。虽然这些数据上传到了位于新加坡和俄罗斯的服务器,但这些域名本身是北京的公司注册的。

此外,研究人员还发现小米手机会记录用户打开的文件夹、用户查看的屏幕和配置的设置等。小米音乐播放器app会记录用户播放歌曲的内容和时间。

应Forbes网站要求,安全研究人员Andrew Tierney进行了调查,发现Mi Browser Pro 和Mint浏览器也在收集相同的数据。

当用户访问网站时,浏览器就会发送访问远程主机的URL,但发送的URL是没有经过混淆的。

福布斯爆小米浏览器追踪用户隐私  漏洞 第1张

据应用商店数据,该浏览器下载量超过1500万。

https://www.youtube.com/watch?v=62kxZunBQyI

小米回应

5月2日凌晨,小米在官方博客对福布斯的报道进行了回应。并解释了小米是如何收集数据和保护用户隐私的。

小米称,收集的数据一共有2类:

1. 汇总使用统计数据的收集。系统信息、爱好、用户接口特征使用、性能、内存使用、奔溃报告等数据被汇总收集,但这些数据单独是无法识别某个个人的。

比如,收集的URL是用来确定加载比较慢的网页,用来更好地提升浏览的性能。

2. 用户浏览数据同步。某个用户的浏览数据(历史)会在特定情况下同步,比如:

· 用户登陆小米账号;

· 数据同步功能设置为“开”。

比如,用户在换了不同的设备后,如果用户登陆了小米账号,就可以提供给用户快速访问之前查看的网站。

但是在无痕模式下,用户浏览数据是不会同步的。但是1中提到的统计数据仍然会收集。

下图是创建随机生成的token来汇总用户使用数据的代码,这些token并不对应任何个人。

福布斯爆小米浏览器追踪用户隐私  漏洞 第2张

下图是小米浏览器无痕模式的工作原理,没有用户浏览数据会同步。

福布斯爆小米浏览器追踪用户隐私  漏洞 第3张

下面的URL表明收集的用户使用数据保存到了小米的域名,小米称并没有传递数据到Sensor Analytics。

福布斯爆小米浏览器追踪用户隐私  漏洞 第4张

下图表明用户使用统计数据通过HTTPS协议(使用TLS 1.2加密)传输。

福布斯爆小米浏览器追踪用户隐私  漏洞 第5张

福布斯报道参见:

https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/,e2f9b671b2a7

小米官方回应参见:

https://blog.mi.com/en/2020/05/02/live-post-evidence-and-statement-in-response-to-media-coverage-on-our-privacy-policy/


本文翻译自:https://www.bleepingcomputer.com/news/technology/xiaomi-tracks-private-browser-and-phone-usage-defends-behavior/
LDAPFragger:LDAP属性的命令和控制(上)

前一段时间在内部网络的渗透测试期间,我遇到了物理分段网络。这些网络包含连接到相同Active Directory域的工作站,但是只有一个网络段可以连接到互联网。为了使用Cobalt Strike远程控制两个网段中的工作站,我构建了一个工具,该工具使用共享的Active Directory组件来构建通信通道。为此,它使用通常用于管理Active Directory的LDAP协议,从而通过LDAP有效地路由信标数据。这篇文章将详细介绍该工具的开发过程、工作方式并提供缓解建议。 几个月前,我对一位客户进行了网络渗透测试。这个客户端有多个完全防火墙化的网络,因此这些网络段之间不可能进行直接连接。由于成本/工作负载效率的原因,客户端选择在这些网络段之间使用相同的Active Directory域。 我们对A段和B段的工作站都有物理访问,在本文的示例中,A段的工作站可以访问互联网,而B段的工作站则不能访问互联网。虽然我们确实在两个网段的工作站上都有物理访问