新聞來源:風傳媒
http://goo.gl/bVoXrT
紅米資安又亮紅燈 每半小時回傳個資
中國產的小米機再爆隱私外洩疑雲?今年7、8月,小米機被發現未經同意自行
上傳客戶資料至位於北京的伺服器,之後在輿論壓力下認錯並提供更新檔。但
根據港媒8日報導,紅米1S在系統更新後,閒置狀態下仍會每半小時傳送加密
資料到一個位在新加坡的租用伺服器。測試專家表示,從上傳的密集度和檔案
大小來看,不排除有涉及洩漏隱私之嫌。
8月初,一名香港手機使用者和新加坡、台灣的資安公司測試發現,小米3和紅
米1s會在開機連網後自動回傳用戶電話號碼和手機序號、自動開啟網路簡訊回
傳收發方號碼到一個位在北京的伺服器。8月10日,小米公司發佈OTA手機系統
更新檔,聲明已修正網路簡訊自動啟動功能,已無任何未經用戶許可傳輸資料
到小米伺服器的行為,並將正常上傳改以加密進行。
然而,香港《蘋果日報》9月8日報導指出,蘋果委託資訊安全公司Nexusguard
Consulting、互聯網協會網絡保安及私隱小組召集人楊和生,對全新的香港版
紅米1S手機進行13天的測試,發現紅米機仍有資安疑慮。
在未安裝更新前,紅米機在閒置狀態下,每天早上會將加密資料傳至IP位置為
「北京藍訊通信技術有限責任公司」(ChinaCache)的伺服器,因傳送的檔案
大小由893B至30KB,楊和生認為不排除包含通訊錄在內等文字資料。
安裝OTA系統更新檔後,上傳目標改為位於新加坡的Amazon伺服器,檔案大小
縮減為143B至4KB,傳送頻率為半小時一次,屬不尋常的密集頻率。而Amazon
伺服器因成本、技術門檻低,被認為是近年駭客的新寵。
Nexusguard Consulting之後將紅米原廠系統刪除,改安裝他方製作的作業系
統,進行相同測試後發現,不再有自行上傳資料到北京或新加坡伺服器的行為
,故推測是由原廠作業系統啟動上傳。
除了作業系統,「小米應用商店」也有隱私疑慮。
由於中國的資訊審查制度,小米手機的中國版本無法使用Google Play Store
服務,而是使用自行開發的小米商店,程式外觀與前者非常相似。Nexusguard
Consulting測試後發現,在小米應用商店下載的小米版WhatsApp,發訊時會同
時將資料傳到九個在中國的伺服器,分屬於中國聯通、北京森華易 騰通信技術
有限公司、北京藍訊通信技術有限責任公司。
最早踢爆小米隱私疑慮的香港網友稱8月13日就發動一人一信要求香港個人資料
私隱專員公署進行調查,但未獲官方積極回應。
今日香港蘋果日報火力全開打小米XD:
更新軟件後 變每半小時「過料」紅米傳資訊到星洲 專家指極不尋常
http://hk.apple.nextmedia.com/news/art/20140908/18859460
資料傳北京 Apps疑被做手腳
http://hk.apple.nextmedia.com/news/art/20140908/18859462
恐遭內地監控 社運人士拒用
http://hk.apple.nextmedia.com/news/art/20140908/18859468
抄襲蘋果以平制勝 風靡內地
http://hk.apple.nextmedia.com/news/art/20140908/18859470
心得:
「我們一般平民百姓的個資沒人要看啦,上傳也沒關係啊,又賣不到多少錢。像
iCloud那樣有名人用才會出事啦,我們免驚。」
「紅米手機都這麼便宜了,不爽你可以去買別家啊,反正你也買不到這麼便宜的
手機了。」
「本來伺服器架在中國我的資料就是要給中國看啊,你看apple和google還不是
一樣回傳給美國,大家一樣爛但是票投國民....,啊不是是我比較相信中國。」