สมาร์ทโฟนเสียวหมี่ถูกกล่าวถึงในครั้งนี้ เนื่องจากชวนให้นักวิจัยสงสัยว่า ตัวเครื่องมีการเก็บข้อมูลส่วนตัว อันได้แก่ รายชื่อเว็บไซต์, รายการคำค้นหาในเว็บต่างๆ เป็นต้นในขณะที่ผู้ใช้ท่องเว็บด้วยเบราว์เซอร์ติดเครื่องไม่ว่าผู้ใช้จะเปิดโหมด Incognito แล้วหรือไม่ก็ไม่มีความแตกต่าง จากนั้น, นำข้อมูลเหล่านี้ส่งต่อไปให้บุคคลที่ 3 ทำการวิเคราะห์พฤติกรรมผู้ใช้. โดยที่ผู้ใช้ไม่ได้ทราบเรื่องนี้มาก่อน.

Gabi Cirlig กล่าวว่า

“มันก็แค่ช่องโหว่ที่มีในการทำงานของสมาร์ทโฟน Xiaomiเท่านั้น(ไม่มีไรมาก)”

Cirlig เล่าให้ Forbes ฟังเกี่ยวกับประเด็นที่สมาร์ทโฟน Redmi Note 8 ของเขาเอง แอบลักลอบบันทึกข้อมูลอะไรต่ออะไร. ข้อมูลเหล่านั้นจะถูกส่งไปยังเซิร์ฟเวอร์ที่เสียวหมี่เช่ากับอาลีบาบา, ยักษ์ใหญ่อุตสาหกรรมเทคโนโลยี.

นักวิจัย ผู้ชำนาญการแกะรอยอาชญากรรมทางไซเบอร์รายนี้ เล่าหลังจากพบว่าสมาร์ทโฟนเครื่องใหม่ของเขาถูกตามเก็บข้อมูล. ข้อมูลส่วนตัวนานาชนิด เก็บรวมรวมส่งไปยังบริษัทในเมืองจีน.

ระหว่างที่เขาท่องเว็บผ่านสมาร์ทโฟนเสียวหมี่ด้วยเบราว์เซอร์ที่ติดมากับเครื่อง เบราว์เซอร์นี้จะบันทึกรายชื่อเว็บไซต์ทั้งหมดที่เขาไปท่องมา รวมทั้งรายการคำค้นหาที่เขาได้สืบค้นไม่ว่าจะสืบค้นจาก กูเกิ้ล ดั๊กดั๊กโก หรือ ไม่ว่าจะเป็นลิงค์ต่างๆ ที่แสดงขึ้นมาในแอปฟีดข่าวที่ติดมากับสมาร์ทโฟนเสียวหมี่.

แม้เขาจะเปิดโหมด Incognito ที่ไม่ระบุตัวตนใดๆในการท่องเว็บเสียวหมี่ก็ยังคงลักอบส่งข้อมูลส่วนตัวต่อไปไม่หยุดพัก..

เท่านั้นยังไม่พอ, สมาร์ทโฟนเครื่องนี้ยังบันทึกว่าได้เปิดโฟลเดอร์ไหนบ้าง และได้ไถนิ้วไปยังหน้าไหนบ้าง หน้าสเตตัสบาร์ และ หน้าการตั้งค่าก็ไม่เว้น บันทึกไว้หมด. เมื่อบันทึกแล้วก็ส่งไปยังเซิร์ฟเวอร์ ที่ประเทศสิงคโปร์และรัสเซีย. ทั้งๆที่เสียวหมี่ลงทะเบียนไว้ที่ปักกิ่ง ก็ควรจะมีโดเมนปลายทางอยู่ที่นั่น.

คุณมีแอป Mi Browser Pro และ Mint Browser ติดเครื่องไหม

Mi Browser Pro

Mi Browser Pro

“Mi Browser Pro” “Mint Browser” ก็ลักลอบเก็บข้อมูลทำนองเดียวกัน. เบราว์เซอร์สองตัวนี้มีสถิติการดาวน์โหลดในกูเกิ้ลเพลย์ไปแล้วทั้งสิ้น 15 ล้านบัญชีเอง. ตัวเลขความเสียหายอย่างเป็นทางการ เชื่อว่ามากกว่านี้อีกเพียบ ที่เสี่ยงต่อข้อมูลส่วนบุคคลรั่วไหล. เสียวหมี่ยังคงปฏิเสธต่อไป..

Mint Browser

Mint Browser

แต่ผมไม่เล็กนะครับ

ค่ายสมาร์ทโฟนเสียวหมี่ มีสัดส่วนการตลาดสมาร์ทโฟนติด 4 อันดับแรกของโลกตามหลังแอปเปิ้ล, ซัมซุง และ หัวเหว่ย. บริษัทมีมูลค่าสูงถึง 5 หมื่นล้านดอล. เสียวหมี่ขายมือถือรุ่นล่างๆ แต่มีคุณภาพเทียบเท่ารุ่นบนๆของแบรนด์อื่นๆ. แต่ผู้ใช้ก็พึงทราบว่าได้สูญเสียข้อมูลส่วนบุคคล อันมีค่าไปไม่น้อย.

ไม่ได้ใช้ Redmi Note 8 โอเครอดล่ะ

Cirlig เข้าใจว่าปัญหาลักษณะนี้น่าจะเกิดกับโมเดลอื่นๆด้วย เพราะ เขาลองดาวน์โหลดเฟิร์มแวร์ของสมาร์ทโฟนเสียวหมี่รุ่นอื่นๆได้แก่ รุ่น Mi 10, Redmi K20 และ Mi Mix 3 ก็พบว่าสมาร์ทโฟนเหล่านี้ใช้เบราว์เซอร์ที่เขียนโค้ดมาเหมือนกัน. สงสัยได้ว่าน่าจะมีปัญหาข้อมูลส่วนบุคคลรั่วไหลไม่ต่างกัน.

มีที่หนักกว่าที่เขียนไปข้างต้นอีก ข้อมูลส่วนบุคคลทั้งหลายที่ลักลอบเก็บไว้ และ นำส่งไปยังเซิร์ฟเวอร์ ซึ่งเสียวหมี่ก็ยืนยันนะว่าข้อมูลจะถูกเข้ารหัส เพื่อคุ้มครองความเป็นส่วนตัวของผู้ใช้. ทว่า, Cirlig พบว่าแค่เพียงถอดรหัสด้วยชุดถอดรหัส base 64 ข้อมูลส่วนตัวทั้งหมดก็สามารถอ่านออกได้แล้ว.

Cirlig กล่าวว่า

“ผมกังวลว่า ข้อมูลส่วนบุคคลทั้งหลายที่ส่งไปยังเซิร์ฟเวอร์คงหนีไม่พ้น จะต้องมีมือดีสักบริษัท เอาข้อมูลนี้ไปต้มยำทำแกงแน่นอน”

เสียวหมี่ค้าน

“ไม่จริง เรากังวลเรื่องข้อมูลส่วนตัวและการรักษาปลอดภัยให้ถึงที่สุด เราปฏิบัติตามกฎหมายท้องที่ของเรา และให้ความร่วมมืออย่างเคร่งครัด ไม่ว่าจะเป็นระเบียบข้อบังคับ เกี่ยวกับข้อมูลส่วนบุคคลใดๆ”

โฆษกของทางเสียวหมี่ยืนยันว่า มีการเก็บข้อมูลการท่องเว็บจริงๆ แต่ว่าไม่ระบุตัวตนซึ่งผู้ใช้จะต้องยินดีให้เก็บข้อมูลเหล่านี้อยู่แล้ว. Cirlig และ Tierney เล่าว่าข้อมูลที่ส่งไปที่เซิร์ฟเวอร์ไม่ได้มีแค่รายชื่อเว็บไซต์และรายการค้นหาจากเซิร์ชเอนจิ้น ยังมี,
เลขไอดีของเครื่องสมาร์ทโฟน รวมทั้งเวอร์ชั่นแอนดรอยด์. Cirlig บอกว่าข้อมูลเหล่านี้ สามารถแกะรอยกลับมามัดตัวเจ้าของเครื่องได้ง่าย.

โฆษกของเสียวหมี่ออกมาแก้ข่าวว่า ข้อมูลการเล่นเว็บไม่ได้ถูกบันทึกไว้หากเปิดโหมด Incognito. แต่ Cirlig กับ Tierney เอาหลักฐานเป็นรูปภาพและคลิปวีดีโอยืนยัน บอกว่าถึงจะเปิดโหมด Incognitoแล้ว, ข้อมูลการท่องเว็บก็ยังคงส่งไปยังเซิร์ฟเวอร์อยู่ดี.

Forbes ก็เลยนำคลิปของ Cirlig มาแฉว่าหากนักวิจัยเซิร์ชคำว่า “porn” แล้วคลิกไปยังเว็บ PornHub ปั๊บข้อมูลเหล่านี้รายงานไปยังเซิร์ฟเวอร์ทันที. โฆษกของเสียวหมี่โต้แย้งข่าวการเปิดโปงเกี่ยวกับโหมด Incognito ว่า

“คลิปนี้แสดงให้เห็นว่ามีการเก็บข้อมูลที่ไม่ระบุตัวตน. ซึ่งบริษัทอินเตอร์เนตทั่วไปก็ทำกัน เพื่อปรับปรุงการท่องเว็บ(ด้วยเบราว์เซอร์นั้น) โดยใช้การวิเคราะห์ข้อมูลที่ไม่อาจระบุตัวตนได้”

Cirlig และ Tierney จึงสรุปว่าเบราว์เซอร์ที่ติดเครื่องมากับสมาร์ทโฟนเสียวหมี่รุกล้ำความเป็นส่วนตัวมากกว่าเบราว์เซอร์ตัวอื่น อย่าง กูเกิ้ลโครม, หรือ แอปเปิ้ลซาฟารี (ซึ่งก็ติดเครื่องสมาร์ทโฟนเหมือนกันนะ)

“มันแย่มากเลยครับ ถ้าเทียบกับเบราว์เซอร์ที่ใช้กันส่วนใหญ่ เบราว์เซอร์หลายๆตัวก็มีการวิเคราะห์ข้อมูลที่เราท่องเว็บนะครับ แต่, ข้อมูลถูกนำไปใช้วิเคราะห์เฉพาะด้านการปรับปรุงเวลาเบราว์เซอร์แฮงค์หรือเวลาเบราว์เซอร์ทำงานในเว็บไหนได้ดี-ไม่ดี. แต่นี่เล่นจดเว็บไซต์ที่เราไปเยี่ยมเยือนโดยไม่ได้ขออนุญาต ทั้งที่อยูในโหมด Incognito ผมว่ามันแย่จริงๆ”

Cirlig สงสัยว่าแอปต่างๆ ที่เขาใช้ นั้นได้ถูกจดบันทึกเอาไว้ โดยเสียวหมี่ทั้งหมดด้วยหรือไม่ เพราว่าทุกครั้งที่เขาเปิดแอปใดก็ตาม ก็จะมีข้อมูลจำนวนหนึ่งส่งไปยังเซิร์ฟเวอร์ด้วย. นักวิจัยรายหนึ่งที่เคยทดสอบอุปกรณ์ของเสียวหมี่ ตอบสั้นๆว่าเขาเคยเห็นผู้ผลิตรายอื่นก็เก็บข้อมูลในลักษณะนี้นะ แต่นักวิจัยรายนี้เขาอยู่ภายใต้สัญญาห้ามเปิดเผยข้อมูลลับ(NDA)หลายๆอย่างอยู่นะครับ (เขาอาจจะพูดความลับไม่ได้ก็เป็นได้). เสียวหมี่ไม่ได้ให้ข้อมูลอะไรในเรื่องนี้.

“การวิเคราะห์พฤติกรรมการใช้สมาร์ทโฟน”

เหตุผลในการเก็บข้อมูลของทางเสียวหมี่อาจเป็นไปได้ว่า เสียวหมี่ต้องการทราบพฤติกรรมการใช้งานของผู้ใช้จริงๆก็เป็นได้นะ เสียวหมี่เป็นลูกค้าของบริษัทวิเคราะห์พฤติกรรมผู้ใช้ ชื่อว่าบริษัท Sensors Anlytics. ซึ่งเป็นสตาร์ทอัพในประเทศจีน มีชื่ออีกชื่อหนึ่งคือ Sensors Data ซึ่งได้รับทุนสนับสนุนจำนวน 60 ล้านดอลลาร์ ตั้งแต่วันก่อตั้งบริษัทในปี 2015. เร็วๆนี้เพิ่งจะรับทุนเพิ่มไปอีก 44 ล้านดอลลาร์ จาก กองทุนเอกชนในนิวยอร์คที่มีชื่อว่า Warburg Pincus. ซึ่งกองทุนนี้ได้รับการสนับสนุนโดย Sequoia Capital China. เท่าที่บันทึกอยู่ในประวัติในการพิชรับทุน

Sensor Analytics เป็นผู้ชำนาญการ หรือผู้ให้คำปรึกษาเกี่ยวกับบริการ แพลตฟอร์มวิเคราะห์พฤติกรรมผู้บริโภคเชิงลึก. เป็นเครื่องมือที่จะ “สังเคราะห์ข้อมูลที่แฝงอยู่ในข้อมูลบ่งชี้ เพื่อที่จะตามหาพฤติกรรมหลักในแต่ละกิจการ” Cirlig และ Tierney พบว่าแอปในสมาร์ทโฟนเสียวหมี่ส่งข้อมูลไปยังโดเมนที่เข้าใจว่าเป็นของ Sensor Analytics.

สาเหตุที่พบว่าโดเมนนั้นเป็นของ Sensor Analytics เขาเล่าว่าโดยการคลิกไปที่โดเมนเหล่านั้น แล้วจะมีการแสดงผลตอบกลับมาว่า “Sensor Analytics พร้อมจะรับข้อมูลแล่ว” กล่าวอีกนัยหนึ่งก็คือ พบว่ามี SensorDataAPI ซึ่งเป็น API (Application programming interface) ของซอฟต์แวร์ที่ยอมให้บุคคลที่สามเข้าถึงข้อมูลบางอย่างได้. และ เสียวหมี่ก็อยู่ในรายชื่อลูกค้าของ Sensors Data ด้วย. Sang Wenfeng, CEO และ ผู้ก่อตั้ง Sensors Data เป็นผู้ชำนาญการด้านการติดตามข้อมูลผู้ใช้ มาจาก Baidu. ในประวัติการทำงานของเขาระบุ, เขาคือคนที่ทำแพลตฟอร์ม Big data สำหรับเก็บ log ผู้ใช้งาน Baidu.

โฆษกของเสียวหมี่ยืนยันความสัมพันธ์กับสตาร์ทอัพรายนี้ว่า “Sensors Analytics ให้ข้อมูลวิเคราะห์ต่างๆแก่เสียวหมี่ เสียวหมี่เก็บข้อมูลส่วนตัวที่ไม่เปิดเผยตัวตนของผู้ใช้ ไว้กับเซิร์ฟเวอร์ของเสียวหมี่เองนะ ไม่ได้แบ่งปันกับ Sensor Analytics หรือ กิจการอื่นใดที่ไหนทั้งนั้น”

แอป Clean Master ในแอนดรอยด์หายไปจากเพลย์สโตร์แล้วเหรอ?

Cheetah Mobile Clean Master

Cheetah Mobile Clean Master

เหตุการณ์แบบนี้เกิดขึ้นครั้งที่สองแล้วในรอบสองเดือนที่ผ่านมา. กิจการด้านเทคโนโลยีของจีน เข้าไปก้าวก่ายกับพฤติกรรมการใช้งานของผู้ใช้สมาร์ทโฟน. ก่อนหน้านี้มีแอปจากบริษัท Cheetah Mobile ซึ่งเป็นบริษัทที่เข้าตลาดหุ้นที่นิวยอร์ค เก็บข้อมูลการท่องเว็บของผู้ใช้, เก็บข้อมูลชื่อ Wifi access point และ ข้อมูลวิธีการเลื่อนดูหน้าเว็บของผู้ใช้. Cheetah ออกมาสารภาพว่าจำเป็นต้องเก็บข้อมูลเหล่านี้ เพื่อป้องกันและปรับปรุงประสบการณ์ใช้งานแอป (คุณรู้จักแอป Clean Master ของ Cheetah Mobileไหมครับ ตอนนี้ไม่อยู่ใน Play store แล้วนะก็เกี่ยวข้องกับเรื่องนี้แหละ)

CM Browser

CM Browser

นอกจากเบราว์เซอร์แล้ว ..

ก่อนจบโพส, Cirlig บอกว่า Music Player App ในRedmi Note 8 ก็เก็บข้อมูลนิสัยการฟังเพลงของเขาเช่นกัน ว่าเขาฟังเพลงอะไรเวลาไหน.

คุณฟังเพลง-เสียวหมี่ก็ฟัง(คุณ)เหมือนกันนะจ้ะ.  ฟอร์บส์ปิดท้าย.

เพิ่มเติมจาก Forbes

  1. เสียวหมี่ระบุใน (บล็อก) ชัดเลยว่าเก็บข้อมูลการท่องเว็บต่างๆอย่างไร และ เมื่อไร และระบุว่า ข้อมูลที่ส่งออกจากสมาร์ทโฟนเสียวหมี่ และ เบราว์เซอร์ของเสียวหมี่ ไม่ระบุตัวตน และ ไม่เชื่อมโยงกับอัตลักษณ์ใดของผู้ใช้
  2. 3-พ.ค.-2563 เสียวหมี่ประกาศว่าอัปเดตเบราว์เซอร์รอบหน้า ผู้ใช้สามารถปิดไม่ให้เบราว์เซอร์ส่งรายชื่อเว็บไซต์ที่ท่องเว็บด้วยเบราว์เซอร์ไปยังเซิร์ฟเวอร์.
  3. เบราว์เซอร์จะมีปุ่มเซตติ้ง “เปิด/ปิดการเก็บและแพ็คข้อมูลส่งออก” ในโหมด Incognito เพื่อให้ผู้ใช้สามารถควบคุมการแบ่งปันข้อมูลให้กับเสียวหมี่ อัพเดทซอฟต์แวร์ตัวนี้จะส่งให้กูเกิ้ลวันนี้แล้ว
  4. เสียวหมี่ปิดท้ายว่า “เราเชื่อว่าฟังก์ชั่นที่เพิ่มมานี้ รวมทั้ง แนวทางของเราที่เก็บข้อมูลแบบไม่ระบุตัวตน ปฏิบัติถูกกฎหมายอย่างแน่แท้จริง และแสดงให้เห็นว่าเราใส่ใจในความเป็นส่วนตัวของผู้ใช้”

แปลและเรียบเรียงจาก : (Forbes 30-4-2020)