Loading...
චෝදනා ප්‍රතික්ෂේප කිරීමෙන් පසුවත් Xiaomi පුද්ගලික දත්ත ගන්නා ආකාරය CyberGibbons හෙලිකරයි
Xiaomi

චෝදනා ප්‍රතික්ෂේප කිරීමෙන් පසුවත් Xiaomi පුද්ගලික දත්ත ගන්නා ආකාරය CyberGibbons හෙලිකරයි

ඊයේ පෙරේදා Xiaomi සම්බන්ධව පොඩි අලකලංචියක් උනානේ. Forbes එකෙන් news report එකක් දුන්නා Xiaomi එකේ default එන Mint browser එක (ඒ වගේම අපිට වෙනම Google Playstore එකෙන් ගන්න පුලුවන්) අවශ්‍ය ප්‍රමාණයට වඩා data collect කරන ප්‍රශ්නයක් ගැන.

Mint Browser - Video download, Fast, Light, Secure - Apps on Google Play
Mint Browser is one of the best web browsers for Android phones. Breakneck speed, privacy, and security all come in a single tiny package. Our 10 MB app is a lifesaver when you prioritize user experience over pricey specs. ?Key features ?Faster and safer: Low storage requirements and breakneck l…
Apps on Google PlayXiaomi Inc.
Xiaomi විසින් නිපදවන Mint Browser එක

ඒ කියන්නේ අපි සාමාන්‍යෙන් phone එකක් ගන්න කොට setup කරනකොට පර්මිශන් නොදෙන data උනත් collect කරලා third-party host එකක් වෙන sa.api.intl.miui.com එකට direct කරන එක. කොහොම හරි Xiaomi සමාගම විසින් මේ සිද්ධියට ප්‍රකාශයක් නිකුත් කරල තියෙනවා, එයාල එහෙම කරන්නේ නෑ. මේක වැරදි දෙයක් කියල.

සිද්ධිය නැවත වතාවක් මං සරලව පැහැදිලි කරන්නම්, මේ විදිහට. සාමාන්‍යෙන් අපි web browser එකක incognito, සිංහලෙන් ලේසියෙන්ම කිව්වොත් හඳුනා ගන්න බැරි වෙන විදිහට session එකක් open කරලා internet යනවා. ඕක computer එකේ හෝ mobile phone එකේ වෙන්න පුළුවන්. මං උනත් incognito mode එක on කරගන්නවා සමහර වෙලාවට මට use කරන්න වෙන සමහර services වලට යන්න. උදාහරණයක් විදිහට කිව්වොතින් එහෙම මට අවශ්‍ය වෙනවා මට යන්න ඕන website එකක් තියෙනවා, ගිහිං ඉවර වෙලා close කරාම කිසිම දෙයක් මගේ browser එකේවත් ඉතිරි නොවෙන්න.

ඔන්න ඔය කියන එවා third-party එකක් විදිහට Xiaomi තමන්ගේ Mint browser එක use කරලා අර උඩ කිව්ව host එකට save කරනවා.

ඇත්තටම Incognito එකේදි මොකක්ද වෙන්නේ?

දැන් ඔය incognito mode එකේදි ඇත්තටම data record වෙන්නේ නැද්ද?

ඔබ සාමාන්‍ය browser එකකින් web browse කරන විට, ඔබගේ browsing history එක එම browser එක මගින් save කර ගනු ලැබේ. තවද cookies (Cookies යනු web servers මගින් web browsers වලට ලබා දෙන පණිවුඩවල ආකාර හැදින්වීම සදහා යොදා ගන්නා යෙදුමකි. තවද, Session cookies සහ Persistent cookies වශයෙන් ආකාර දෙකක් පවතී.) සහ site data ඔබ web surf කරන අතරතුර රදවා තබා ගනී.

නමුත්, මෙම private browsing මගින් web browse කරන විට history එක save කර ගැනීමක් හෝ cookies සහ site data රදවා තබා ගැනීමක් සිදු නොකරයි.

ඔබ මතක තබා ගත යුතු වැදගත් කරුණක් නම්, මෙම private browsing මගින් ඔබගේ data සගවා තබා ගන්නේ ඔබ භාවිතා කරන device එකෙන් පමණක් වේ.

ඔබ download කරන files මෙම mode එකේදී මතක තබා ගැනීමක් සිදු නොකරන අතර නමුත් එම files, Download folder එකේ save වීමක් සිදු වේ. මෙය ඔබ private browsing තුළින් ඉවත් වුවත් පවතී.

Incognito Browsing සිදු කළ ද, ඔබගේ ක්‍රියාකාරකම්(web surfing) දැකිය හැකි පාර්ශවයන් මොනවද?

  • දැන්වීම් සහ අනෙකුත් resources ද ඇතුලත්ව, ඔබ browse කරන websites වලට.
  • ඔබගේ කාර්යාලයේ, පාසලේ හෝ ඔබ අන්තර්ජාලයට සම්බන්ධ වීම සදහා භාවිත කරන ඕනෑම network එකට.
  • ඔබගේ අන්තර්ජාල සම්බන්ධිකරුට එහෙමත් නැත්තම් ISPට. උදා: ශ්‍රී ලංකා ටෙලිකොම්, ඩයලොග්, ආදී වශයෙන් වූ.
  • ඔබ web service එකක් භාවිතයෙන් ඔබගේ account එකකට log වුනේ නම්, Gmail, Facebook වගේ, එය ඔබගේ account එකේ save වීමක් සිදු වේ.

මේ ලෝකයම පිලිගත් අංක එකේ Internet security firm එකක් වෙන Nortanට එකට අනුව Incognito Mode එක ගැන කරන විස්තරය. අවශ්‍ය නම් පල්ලෙහා ලින්ක් එකෙනුත් ගිහිං ඩබල් චෙක් කරගන්න පුළුවන් කිසි ප්‍රශ්නයක් නෑ.

How does incognito mode work?
Major web browsers allow you to go “incognito” by activating private browsing modes. Here’s how incognito mode works.
Symantec home pageWritten by Alison Grace Johansen for NortonLifeLock

දැන් ඔයාට තේරෙනව ඇති browser එක හදපු කම්පණි එකට මොනම අයිතියක්වත් හෝ සදාචාරාත්මක හැකියාවක් හෝ නෑ Incognito mode එකකදි තමන්ගේ browser එක use කරන කෙනාගේ දත්ත තුන්වන පාර්ශවයක් විදිහට track කරන්න.

දැන් ආයේ එමු මාතෘකාව දිහාට. දැන් ඔයාට යම්තරමක අවබෝධයක් ඇති මොකක්ද මේ Incognito mode එක කියන එක ගැන. ඒක ගැන තාම හරියට idea එකක් නැත්තම් ආයෙම වතාවක් කියවා බලා අවබෝධ කරගෙන මෙතන ඉඳගෙන කියවන්න.

Xiaomi ආයතනය විසින් මේ සිද්ධියත් එක්ක ප්‍රකාශයක් කරල තියෙනවා මේක වෙන්නෙ නෑ, අපි ඒක ගැන සහතික වෙනවා. මේ ගැන TrustArc සහ BSI විසින් සහතියක් පවා ලබා දීලා තියෙනවා කියල. මේ පල්ලෙහයින් මම දානවා ඒ ප්‍රකාශය.

එම ප්‍රකාශයට අනුව ඔවුන් විස්න් භාවිතා කරන්නේ Xiaomi විසින් ඔවුන්ගේ data store කරන්නේ ඉන්දියාවේ ඇති AWS servers වල කියල. ඒ නමුත් ඉහත දැක්වූ පරිදි දත්ත එකතු කරලා store කරන්න යවන host එක වෙන sa.api.intl.miui.com කියන එක හොට් වෙලා තියෙන්නේ Alibaba (US) Technology Co., Ltd. එකට අයිති data centers වල 47.241.109.186 දරණ ip address එකේ ඇති host එකේය.

උඩ තියෙන snapshot එකත් ඔයාලට පිලිගන්න බැරි වෙයි කියල හිතන නිසා ලෝකයේ ඕනෑම website එකක host එක මොකක්ද කියල චෙක් කරගන්න පුලුවන් සහ මම චෙක් කරගත්තු ඒ ප්‍රධාන පෙලේ වෙබ් සයිට් එකේ url එකත් මං මේ එක්කම පල්ලෙහයින් දානවා.

Find out who is hosting any website

මේකත් බොරුවක් කියල හිතෙනව නම් androidwedakarayo.com එකත් චෙක් කරන්න. ඔයාලට පෙන්නයි අපි host කරල තියෙන්නේ Google Cloud Services වල කියල.

ඒකත් පැත්තකින් තියල අපි එමු මේ ප්‍රකාශයෙන් Xiaomi එයාල මේ විදිහේ දෙයක් කරන්නේ නෑ කියල සහතික කරල ප්‍රකාශයක් නිකුත් කරාට පස්සේත් ලෝකේ ඉන්න Reverse engineer, hardware hacker, security analyst, lock picker, heist planner කියන සේවා සපයන group එකක් වෙන Cybergibbons විසින් මේක නැවත පරීක්ෂාවට ලක් කරල තියෙනවා සහ පිලිවෙලින් ඒ ගැන Tweet කරල තියෙනවා තවමත් ඒක ඒ විදිහටම වෙනවා කියන එක. පල්ලෙහයින් ඒ tweet එක මං ලින්ක් කරනවා.

දැන් අපි බලමු Cybergibbons කරපු පරීක්ෂණය පැහැදිලිව පියවරෙන් පියවර.

මුලින්ම ඔහු විසින් Mint browser එක open කරලා  ඒකේ Incognito mode එක On කරනවා.

ඊට පස්සේ "I am searching for something highly sensitive" කියන දේ search කරනවා.

ඊට පස්සේ එයා https://pastebin.com/6vUxp30c එකේ තියෙන Curl command එක execute කරලා එයා කරපු request එක මේ විදිහට අරගෙන තියෙනවා. මෙන්න මේ result එකේ තමයි sa.api.intl.miui.com කියන host එක use වෙනව කියන එක.

ඊට පස්සේ මෙයා මේ encode කරල තියෙන url එක decode කරල ගන්නවා. (ඒ කියන්නේ Xiaomi එකට ගිය request එකයි data ටිකයි වෙනම කෙනෙක්ට අරගෙන decode කරන්න පුළුවන්) එතකොට ඒ විදිහට ගිය request එකේ පල්ලෙහා තියෙන details ටික එයාට පෙන්නල තියෙනවා.

මේක තේරෙන්නැති බොහොමයක් ඉන්නවා වෙන්න පුළුවන්. UUID කියන එක incognito එකකදි generate උනත් ඒක Xiaomi වගේ third-party එකකට Universal Unique Identifier (UUID) එකකට අවශ්‍ය වෙන්නේ නෑ. ඒ වගේම  Google එකේ search කරන search word එක, search word එක type කරපු text box එකේ id එක search position කියන එක ඇතුලුව තවත් විශාල දත්ත ප්‍රමාණයක් මෙයාලගේ datacenters වල store කරගන්නවා.

ඊට පස්සෙම ආයෙමත් එයා විනාඩි කීපයකින් තව request එකක් කරලා තියෙනවා. ඒකෙදිත් එකම UUID එක තමයි පෙන්නල තියෙන්නේ.

සාමාන්‍යෙන් UUID එකක් කියන්නේ හරියට ඕනෑම දෙයක finger print එකක් වගේ. ඒ කියන්නේ ඒක unique දෙයක්. ඒ ID එක හරහා ඕනෑම කෙනෙක්ව වෙන් කරලා හඳුනා ගන්න පුළුවන්. මේ විදිහට UUID එකක් thirdparty එකක අවශ්‍ය වෙන්නේ නෑ සහ එය Incognito mode එකකදී ලබා ගැනීමේ අයිතියක් නැහැ.

කෙසේ වුවත් Xiaomi විසින් මේ චෝදනාව ප්‍රතික්ෂේප කරමින් ප්‍රකාශයක් නිකුත් කලාට පසුව වුවද මෙය නැවත වතාවක් CyberGibbons විසින් ප්‍රත්‍යක්ෂ කර සිටීමෙන් හැඟෙන්නේ කුමක්ද?

Source - Twitter, Android Police