小米手机升级包解决资安疑虑了吗?iThome再测结果出炉
iThome在8月8日揭露小米手机未经用户允许,偷传使用者的个人隐私资料至北京的服务器
,在广大的舆论压力下,小米终于在2天后公开认错,释出修正问题的OTA升级包,宣称“
网络短信”已经不再默认为开启,并重申未经同户允许,不会主动上传涉及用户隐私的个
人资讯和资料。
此一OTA升级包是否真如小米所言解决了个人资料的安全问题?iThome再次委托相同的资
安实验室──资安公司芬安全(F-Secure)亚洲实验室及台湾资安公司戴夫寇尔(
DevCore),以先前所测试的红米1S手机,进行OTA升级后的第二波检测。
在8月8日所揭露的小米手机第一波检测结果中,几个主要的争议点包括手机首度开机连结
互联网后,即会自动将手机序号IMEI码与手机号码回传小米北京的服务器,而且是以无
加密的明码传送;而在发送短信时,收发双方的电话号码也都会传回小米的服务器;此外
,小米手机开机后,也会自动把使用者的应用程式清单完整传回小米的服务器。
为了要了解小米释出的OTA升级包是否解决了上述的争议,iThome再度委托芬安全(
F-Secure)亚洲实验室及台湾资安公司戴夫寇尔(DevCore),以原先测试的相同红米1S
手机进行OTA升级,并以相同的程序进行测试。
测试结果显示,小米已经修正了部分问题,然而资安专家也发现,更新OTA升级包后,仍
旧有一些资安疑虑存在,并没有彻底解决。
测试结果1:网络短信功能已改为默认关闭,资料传输已经加密
芬安全亚洲实验室在8月11日至12日两天,连续针对小米OTA升级包进行反复测试,芬安全
亚洲区资安顾问吴树谦表示,他们采取与上次相同的测试程序,在相同的实验室环境中,
由同一群擅长分析恶意程式及具备逆向工程专长的资安研究员,实测红米手机1S是否已经
修改之前的问题。
芬安全的测试人员先以OTA升级红米1S手机,并且按照官方程序重新设定(Reset)手机。
接着再插入手机SIM卡,连上芬安全实验室的无线网络基地台。吴树谦表示,测试人员接
下来发现红米手机开始传送加密资料,经分析是手机序号IMEI码,并没有传送使用者的手
机号码。
测试人员接着开启GPS定位服务,并在通讯录新增联络人名单,测试收发短信与多媒体简
讯,以及拨打与接听电话。
在前次测试中引起最大争议的一点,是小米手机未经当事人同意便自动开启网络短信,并
且以无加密的明码方式将短信收发双方的电话号码,都回传小米在北京的服务器。
吴树谦表示,在红米手机升级OTA包后,测试过程中发现小米已将网络短信服务改为默认
是关闭,使用者必须自行启用该功能;而原本以明码方式传送短信收发双方电话号码的问
题,经芬安全的资安专家透过Https Proxy代理服务器进一步确认,小米已经改采加密方
式传送短信收发者的电话号码。
至于,原本红米手机登入小米云服务后,会将手机的国际行动用户辨识码(IMSI)资讯,
及手机序号IMEI码和电话号码,都以明码传送到小米的api.account.xiaomi.com服务器,
不过,经过OTA包升级后,吴树谦表示,小米手机都改采加密方式传送这些资料了。
吴树谦总结这次的测试结果,红米手机升级小米日前释出的OTA包后,手机一开机、插入
SIM卡,会以加密方式回传手机序号IMEI码(小米官方声称此为确认是否真品);网络简
讯服务则改为默认关闭,必须由使用者自行启用,也同时以加密方式,传输短信收发者的
电话号码、IMEI码和IMSI码;登入小米云服务后,也同样改以加密方式,传送使用者电话
号码、IMEI码和IMSI码。
测试结果2:没有启用小米云服务,小米手机依旧会上传应用程式清单
此外,在前次测试中,台湾资安公司戴夫寇尔以一支正常使用多时、只安装少数基本App
的红米S1手机进行测试,发现红米手机会自动上传使用者的应用程式清单。台湾小米对此
解释,传送应用程式清单是为了小米云服务的云端备份所需。在小米释出OTA升级包之后
,戴夫寇尔针对上次同一款红米手机进行相同的测试,从13日开始测试,直到15日凌晨4
点完成。翁浩正表示,他所测试的红米手机并未启用小米云服务,但是红米手机仍旧会上
传应用程式清单到小米的服务器(
http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php)。他质疑:小
米虽然宣称传送应用程式清单是基于小米云服务所需,然而他并未开启小米云服务,为何
小米仍擅自传送使用者的应用程式清单?
在第一次测试中,翁浩正在监测手机的过程中也发现,红米手机会回传资料到
pmir.3g.qq.com服务器,经查是红米手机默认开启云端扫毒服务,因其使用腾讯的云查杀
服务,因此会传送资讯至腾讯的服务器,然而由于传送的资料已加密,无法检视传送内容
。翁浩正随后关闭云端扫毒服务,红米手机就不再传资料回腾讯的服务器。在升级OTA包
之后,再次测试的结果与第一次相同,使用者只要关闭病毒库更新设定中的“自动更新”
、“使用云端杀毒”、“安装监控”,红米手机就不会再传资料至腾讯的服务器。
台湾小米重申一切连网服务都不涉及用户隐私
针对小米手机OTA升级后再次测试的结果,iThome联系台湾小米的公关窗口,但小米并未
回复上述问题,仅以引述香港小米官方脸书说明作来回答,小米香港官方脸书的声明:
1. 8月10日OTA更新包,关闭了“网络短信”自动启动功能后,已经绝无任何未经用户许
可传输个人资料到小米服务器的行为;
2. 个别用户在OTA包更新后,仍观察到手机和小米服务器的网络连线,经确认,均为不涉
及用户私隐的互联网服务,包括但不限于公众日历更新、MIUI系统提醒、软件更新、系统
短信智能辨认、天气等。
iThome:
http://www.ithome.com.tw/news/90118
心得:
不管你信不信
反正我是....