1.媒体来源:iThome
2.完整新闻标题/内文: 小米手机偷传资料到北京?iThome找资安专家实测:有
小米手机偷传资料到北京引起网友砲轰,小米官方否认,所以,iThome找来资安专家实测
,全新红米手机打开包装,装上Sim卡,开机连上网络,还没进入任何初始安装设定,也
没任何同意资料蒐集动作,小米手机就会自动回传用户手机号码到北京。
许多台湾民众对于使用中国产品缺乏信心,陆续有传出小米(包含红米)手机以及各种来
自中国的App,例如猎豹移动、奇虎360、WeChat及一些影音App等,都传出有资料回传中
国的疑虑。
多数资安专家都同意,中国业者的确有蒐集使用者行为的资料,但因为一般人都没有能力
判断是否真有回传资料,也无法判断这样的作法是否有恶意。
因此,iThome找来资安专家实机测试日前传出资料回传中国风波的红米手机。检测过程中
,确实发现红米手机有资料回传小米北京总公司服务器,不论是全新的红米手机,或者是
使用一阵子的红米手机,都有类似现象。
芬安全实测全新红米机,刚开机连网就回传手机序号和手机号码
iThome联系资安公司芬安全(F-Secure)马来西亚亚洲实验室,实测两款全新红米机与小
米机,从7月31日~8月6日以将近一周的时间,每个环节都经过资安实验室人员2~3次的
反复测试,得出以下的结果。
芬安全亚洲区资安顾问吴树谦表示,中低价位的中国品牌智慧型手机小米手机,近期在马
来西亚也非常热门,以每周只在网络上销售1万支的饥饿行销手法,不仅带动高知名度,
也成为马来西亚热门手机品牌。
芬安全实际采购2款小米机第三代以及红米机1s(RedMi1S)进行实测,主要是希望厘清,
许多媒体报导小米公司手机蒐集过多资讯并回传小米北京总公司的说法,是否为真。
首先,芬安全为了确保测试结果没有受到其他环境的干扰,便在马来西亚当地采购小米机
与红米机各一支,进行开箱后的实测。他说,刚开始,为了确保手机“干净”,并未安装
或连接小米云服务,只有开机并且插入电信公司的SIM卡后,之后就连接到芬安全实验室
的无线AP。
吴树谦指出,在手机插入SIM卡、连上Wi-Fi并启动时,芬安全实验室发现,实测的红米手
机1s会连上小米手机某台服务器(api.account.xiaomi.com),并且回传手机序号IMEI码
和插入SIM卡的手机号码到该服务器。
之后,芬安全亚洲实验室允许红米手机使用GPS定位服务,并添加一个新的联系人到电话
簿,然后进行发送和接收短信以及多媒体短信测试,也测试打电话与接听电话。
吴树谦表示,在测试时发现,在新增手机通讯录联络人并发送短信后,测试的红米手机会
把接收短信者的手机号码,同样转发到该服务器中。
接下来,芬安全亚洲区实验室启用并登录小米云服务,然后重复同样的测试步骤。此时,
则发现,受测红米手机的国际行动用户辨识码(IMSI)资讯,及手机序号IMEI号码和电话
号码,都传送到api.account.xiaomi.com服务器。
测试红米手机的过程中,吴树谦指出,芬安全并不判断怎么样的资料回传是对的,只就测
试结果厘清一些人的疑虑。他说,全新红米手机刚启用并连上Wi-Fi时,红米手机就已经
会自动将手机的SIM卡电话号码以及手机序号IMEI码的资料回传小米手机的北京服务器,
而且过程中都以明码传送。
而测试收发短信时,芬安全也发现,小米手机会把接收短信者的电话号码回传小米手机北
京服务器。
最后测试启用小米云服务时,红米手机会连回小米手机北京服务器,并回传国际行动用户
辨识码(IMSI)、手机序号(IMEI号码)和电话号码,也都会传送到
api.account.xiaomi.com服务器。
戴夫寇尔资安研究员岑志豪表示,一般手机在未登录授权启用时,通常不会回传手机序号
或手机号码;同样的,也少见会回传接收短信者的手机号码。
芬安全亚洲实验室测试结果,红米手机在开机连网后,发现会连上
api.account.xiaomi.com服务器,回传手机序号(IMEI)码(上图)及手机号码(下图)
给该小米服务器。台湾小米官方则回复,开机后是为了验证手机是否为真品,且确认双方
皆为小米机,才能使用网络短信功能。
戴夫寇尔侧录红米机,回传应用程式清单
资安公司戴夫寇尔执行长翁浩正测试一支已经正常使用多时的红米机,其中只安装少数基
本App,进行封包侧录。他表示,一开机,红米机就会把所有作业系统安装的程式名称传
送到小米主机(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php
),不过,Google上找不到这个 URL及Domain相关资料,并不知道用途。他认为,一般手
机很少会将使用者的应用程式清单全数回传给手机业者,这是他测试红米手机最感到不解
之处。
接着测试,翁浩正打开安全中心,发现资料回传到pmir.3g.qq.com服务器,但因为资料内
容加密,无法得知传送内容为何。开机不久,他也从手机中看到,系统连线至小米位于北
京的服务器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道传送什么资料。
在系统输入文字时,会传送至“友盟 umeng”蒐集使用者资料以及统计数据(
https://www.umeng.com/app_logs),但不知道传送内容为何。
翁浩正测试红米机时,发现很多连回小米服务器的封包记录,但他说,连线内容加密,加
上很难确定哪个程式有无恶意或在传送什么资料,因此要检测一个手机是否有恶意程式,
需要数个月时间来分析App、系统、底层。就他简单测试,只能知道红米手机有“蒐集”
的事实。
戴夫寇尔执行长翁浩正测试红米手机时表示,平常很少见到会回传应用程式清单,这是他
测试时最大的不解。不过,台湾小米官方则回复,主要是使用者启用云备份,未来供换新
手机时,直接下载使用。
小米官方回复,一切都是正常连线且不涉及个人隐私
台湾小米官方回复指出,手机一开机后的连线行为,是为了回传IMEI确认是否为正货,并
确认该号码是否申请过小米帐号;而传送短信时,要验证手机号码,是为了确认双方都是
小米手机,才能使用网络短信;登录小米云服务所回传的资料,则是依照使用者设定,才
能同步使用者手机资料。而回传应用程式清单,台湾小米官方答复,主要是使用者开启小
米云备份功能,会同步使用者下载App,当使用者换新手机时,可以直接由云备份直接下
载即可。
台湾小米官方表示,未经用户允许,不会主动上传涉及使用者隐私的个人资讯和资料,而
其他包含个人隐私的个人资料、照片、短信等,默认都是关闭相关网络服务,需要使用者
主动开启,也可以随时关闭。若是网络服务需要连回总公司服务器验证,所传输的资料都
不涉及使用者隐私。
工业局和NCC将成App资安验证双主管机关
行政院资通安全办公室主任萧秀琴指出,在今年6月“行政院国家资通安全会报第26次委
员会议纪录”的讨论案中便决议,未来手机内建的App一律由NCC负责管理,若是一般在各
种软件市集下载的手机App,则由经济部工业局负责。她说,当职权分工确立后,相关部
会就可以针对职掌,各自制定相关的检测办法,并鼓励手机厂商自主检测。
NCC(国家通讯传播委员会)科长谢志昌表示,因为目前手机App检测并没有法源的强制力
,也没有一个共通的国际标准,等到NCC推出手机内建App自选性检测项目出炉后,届时
NCC便会鼓励手机厂商参与自愿性检测,也允许通过检测的厂商,可以据此宣称该手机符
合政府相关资安检测,希望能形成一种厂商之间的正面循环,也对消费者有益。
经济部工业局通讯科承办人员简大超则表示,目前相关的手机下载App资安检测的内容与
方式,还在内部进行讨论中,等到内部讨论有初步共识后,才会进行后续的委外研议。究
竟什么时候有成果,目前还没有定论。
3.新闻连结:
http://www.ithome.com.tw/news/89991
4.备注:
中国真的是贼仔国家, 专偷个资, 台湾政府应该完全禁止让中国公司承包公家单位的
工程, 尤其跟人民个资有关的
也应该立法禁止电信公司使用任何中国制造的设备