由: Truman 發佈 2014.8.9
上月有網友發現小米手機暗中長期連接大陸,由手機啟動開始就有程式將你的照片、訊息和其他檔案傳送至大陸伺服器。期後小米官方否認指控,宣稱只會透過「小米帳號」和「小米雲服務」同步用戶資料,而用戶可以自己選擇是否啟動這些服務。不過保安軟件公司 F-Secure 最新的測試就有更驚人的發現。
F-Secure 測試的是一部新開箱的「紅米 1S」,以確保沒有啟動任何雲端服務。然後進行一系列工作,包括放入 SIM 卡;連接 Wi-Fi;啟動 GPS;新增聯絡人;傳送及接收 SMS 訊息;撥打和接聽電話。
結果發現紅米一開機就會自動暗中傳送電訊商名稱、手機序號和電話號碼到小米的北京伺服器。令人更擔心的是手機內每一個聯絡人的號碼,甚至每個向你傳送訊息的號碼通通都會傳送至北京。這些全部都是在沒有啟動小米電端之下發生。
小米偷傳資料 專家證實
2014年08月09日
資安業者實測,發現小米手機確實有將資料回傳中國的狀況。(AFP)
【記者方惠萱/台北報導】有中國背景的小米與紅米機,利用飢餓行銷在兩岸掀起風潮,不過對於中國產品,許多人都擔心資安問題,小米日前就被爆料會於夜間傳資料回中國北京,當時小米否認,但是日前有媒體請資安業者實測,發現確實有將資料回傳的狀況。
台灣網路媒體iThome請資安廠商實測,資安公司芬安全(F-Secure)實測兩款全新紅米機與小米機,從7月31日至8月6日,每個環節都經過資安實驗室人員2~3次的反覆測試,8日發布實測結果。
芬安全發現,紅米手機在開機連網後,會連上「api.account.xiaomi.com」伺服器,回傳手機序號(IMEI)碼及手機號碼。對此,台灣小米官方回覆,開機後是為了驗證手機是否為真品,且確認雙方皆為小米機,才能使用網路簡訊功能。
而另一間資安公司戴夫寇爾執行長翁浩正,則測試一支已經正常使用多時的紅米機,其中只安裝少數基本App,進行封包側錄。他表示,一開機,紅米機就會把所有作業系統安裝的程式名稱傳送到小米主機(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php),且查不到相關資訊。他認為,一般手機很少會將使用者的應用程式清單全數回傳給手機業者,這是他測試紅米手機最感到不解之處。
芬安全建議,用戶可以安裝防火牆或是加密APP,防止資料外洩,因為目前小米傳輸資料是以純文字且非加密的形式傳輸,傳輸過程可能有被偵測的風險。◇
專家實測 小米手機的確傳資料到北京
2014-08-09 18:10
〔本報訊〕中國品牌小米手機在兩岸掀起風潮,但前陣子卻被爆料小米手機會回傳使用者資料至中國北京,對此小米否認。日前iThome找來資安專家實機測試,發現無論是使用過或是全新的紅米手機,確實會把資料傳回小米公司位在北京的伺服器。
iThome找資安專家實機測試,發現小米手機確實會把資料傳回北京的伺服器。(圖擷取自小米手機官網)
iThome聯繫資安公司芬安全(F-Secure)馬來西亞亞洲實驗室,實測全新的小米機第三代以及紅米機1s。在手機插入SIM卡、連上Wi-Fi並啟動時,紅米手機1s會連上小米手機某台伺服器(api.account.xiaomi.com),並且回傳手機序號IMEI碼和插入SIM卡的手機號碼到該伺服器。
芬安全也發現,小米手機會把接收簡訊者的電話號碼回傳小米手機北京伺服器。啟用雲端服務時,紅米手機會也會連至小米手機的北京伺服器,並回傳國際行動用戶辨識碼(IMSI)、手機序號(IMEI號碼)和電話號碼。資安公司戴夫寇爾執行長翁浩正感到不解,因為一般手機很少會將使用者的應用程式清單全部回傳給手機業者。
iThome網站指出,台灣小米官方則表示,一開機後的連線,是要回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號;傳送簡訊時是為了確認雙方都是小米手機,才能使用網路簡訊;登錄小米雲服務所回傳的資料,則是依照使用者設定,才能同步使用者手機資料;回傳應用程式清單,是因為使用者開啟小米雲備份功能,當使用者換新手機時,可以直接由雲備份下載。
台灣小米官方強調,未經用戶允許,不會主動上傳涉及使用者隱私的個人資訊和資料,而其它個人隱私的個人資料、照片、簡訊等,需要使用者主動開啟,也可以隨時關閉。
翻牆問答﹕小米手機的洩密問題
【阿波羅新聞網 2014-08-09 訊】
對中國異見人士而言,就算你並非使用經實名登記的預付咭,與其他朋友的通訊,仍然有機會在使用手機過程中在不知情下資料外洩。由於部分小米手機傳送給中國主機的資料並未有加密,若然有黑客故意攔截資料,更可能令你的個人資料落入不明人士手上,這其實是相當危險的一件事。 就算對普通人,小米手機未經用戶批准不斷傳送資料,亦可能製造無謂的數據流量,由於數據流量所產生的費用由用戶負擔,換言之,這會令用戶有實質的財政損失。所以用戶要自行衡量,使用小米手機涉及的費用及私隱風險。
DC:小米手機被查出會自動連接在北京的主機後,一直令很多人對小米手機有疑慮。最近台灣有些有心人,進一步查出關於小米手機連接北京主機的詳情,請問能否介紹一下?
李:台灣有網站將小米第三代手機交給F-Secure在馬來西亞的實驗室進行測試,他們對全新完全未啟動過﹑未連接小米云服務的手機進行測試,在容許手機連接實驗室的Wi-Fi網絡後,發現手機會自動將手機的號碼、IMEI、SIM卡編號等資料傳到小米在北京的主機,就算未有連接小米云都無可倖免。
而實驗室在實驗過程中發現更大問題在於,當你用小米手機接收短信時,小米手機會將短信發信人的資料一併送到北京的主機。而小米手機內各類奇奇怪怪的程式,亦會以加密方式連接到中國的QQ以至友盟公司的主機。換言之,你根本不知道有多少私隱會漏到北京方面。
DC:對中國的用戶而言,若然使用小米手機,將有什麼風險?
李:對中國異見人士而言,就算你並非使用經實名登記的預付咭,與其他朋友的通訊,仍然有機會在使用手機過程中在不知情下資料外洩。由於部分小米手機傳送給中國主機的資料並未有加密,若然有黑客故意攔截資料,更可能令你的個人資料落入不明人士手上,這其實是相當危險的一件事。
就算對普通人,小米手機未經用戶批准不斷傳送資料,亦可能製造無謂的數據流量,由於數據流量所產生的費用由用戶負擔,換言之,這會令用戶有實質的財政損失。所以用戶要自行衡量﹐使用小米手機涉及的費用及私隱風險。
DC:那有沒有任何不令自己資料外洩的方法,可以繼續使用小米手機?
李:由於小米手機就算沒有裝小米云都好,只要你連接了數據網絡,就會傳送IMEI、SIM號碼等資料到北京小米主機,因此唯一安全使用小米手機的方法,就是小米手機完全不連接互聯網。但買智能手機的目的,其實都是想享用流動互聯網帶來的方便,如此斬腳趾避沙蟲的方法,並非買智能手機的人所期望的。
DC:那現有小米手機的用家,有什麼補救方法?
李:由於小米手機的傳送資料機制,與那些內置木馬的山寨手機分別不大,因此,對現有小米手機的用家,最能保障自己的方法,就是備份資料後﹐停用小米手機。而由於小米手機已經將你手機的SIM號碼和電話號碼傳到北京方面,要徹底保障你個人利益的方法,就是連SIM卡和手機號碼都一併換,對為數不少的中國預付手機卡的用戶,最簡單的方法就是拋棄你現有的手機號碼,並換上沒有實名登記的新手機卡,並在沒有類似問題的手機上使用。雖然很多人花了大筆錢去買小米手機,但由於小米手機的做法對用戶威脅實在太大,這也是迫於無奈的做法,購買非中國公司出品的手機,是對中國用戶私隱最徹底的保護辦法。因為現在事實證明,不論山寨手機,還是名牌手機,他們洩漏個人資料的手法都是大同小異。
↧