http://www.ithome.com.tw/news/89991
小米手机偷传资料到北京?iThome找资安专家实测:有
小米手机偷传资料到北京引起网友砲轰,小米官方否认,所以,iThome找来资安专家实测,全新红米手机打开包装,装上Sim卡,开机连上网络,还没进入任何初始安装设定,也没任何同意资料蒐集动作,小米手机就会自动回传用户手机号码到北京。
许多台湾民众对于使用中国产品缺乏信心,陆续有传出小米(包含红米)手机以及各种来自中国的App,例如猎豹移动、奇虎360、WeChat及一些影音App等,都传出有资料回传中国的疑虑。
多数资安专家都同意,中国业者的确有蒐集使用者行为的资料,但因为一般人都没有能力判断是否真有回传资料,也无法判断这样的作法是否有恶意。
因此,iThome找来资安专家实机测试日前传出资料回传中国风波的红米手机。检测过程中,确实发现红米手机有资料回传小米北京总公司服务器,不论是全新的红米手机,或者是使用一阵子的红米手机,都有类似现象。
芬安全实测全新红米机,刚开机连网就回传手机序号和手机号码
iThome联系资安公司芬安全(F-Secure)马来西亚亚洲实验室,实测两款全新红米机与小米机,从7月31日~8月6日以将近一周的时间,每个环节都经过资安实验室人员2~3次的反复测试,得出以下的结果。
芬安全亚洲区资安顾问吴树谦表示,中低价位的中国品牌智慧型手机小米手机,近期在马来西亚也非常热门,以每周只在网络上销售1万支的饥饿行销手法,不仅带动高知名度,也成为马来西亚热门手机品牌。
芬安全实际采购2款小米机第三代以及红米机1s(RedMi1S)进行实测,主要是希望厘清,许多媒体报导小米公司手机蒐集过多资讯并回传小米北京总公司的说法,是否为真。
首先,芬安全为了确保测试结果没有受到其他环境的干扰,便在马来西亚当地采购小米机与红米机各一支,进行开箱后的实测。他说,刚开始,为了确保手机“干净”,并未安装或连接小米云服务,只有开机并且插入电信公司的SIM卡后,之后就连接到芬安全实验室的无线AP。
吴树谦指出,在手机插入SIM卡、连上Wi-Fi并启动时,芬安全实验室发现,实测的红米手机1s会连上小米手机某台服务器(api.account.xiaomi.com),并且回传手机序号IMEI码和插入SIM卡的手机号码到该服务器。
之后,芬安全亚洲实验室允许红米手机使用GPS定位服务,并添加一个新的联系人到电话簿,然后进行发送和接收短信以及多媒体短信测试,也测试打电话与接听电话。
吴树谦表示,在测试时发现,在新增手机通讯录联络人并发送短信后,测试的红米手机会把接收短信者的手机号码,同样转发到该服务器中。
接下来,芬安全亚洲区实验室启用并登录小米云服务,然后重复同样的测试步骤。此时,则发现,受测红米手机的国际行动用户辨识码(IMSI)资讯,及手机序号IMEI号码和电话号码,都传送到api.account.xiaomi.com服务器。
测试红米手机的过程中,吴树谦指出,芬安全并不判断怎么样的资料回传是对的,只就测试结果厘清一些人的疑虑。他说,全新红米手机刚启用并连上Wi-Fi时,红米手机就已经会自动将手机的SIM卡电话号码以及手机序号IMEI码的资料回传小米手机的北京服务器,而且过程中都以明码传送。
而测试收发短信时,芬安全也发现,小米手机会把接收短信者的电话号码回传小米手机北京服务器。
最后测试启用小米云服务时,红米手机会连回小米手机北京服务器,并回传国际行动用户辨识码(IMSI)、手机序号(IMEI号码)和电话号码,也都会传送到api.account.xiaomi.com服务器。
戴夫寇尔资安研究员岑志豪表示,一般手机在未登录授权启用时,通常不会回传手机序号或手机号码;同样的,也少见会回传接收短信者的手机号码。
芬安全亚洲实验室测试结果,红米手机在开机连网后,发现会连上api.account.xiaomi.com服务器,回传手机序号(IMEI)码(上图)及手机号码(下图)给该小米服务器。台湾小米官方则回复,开机后是为了验证手机是否为真品,且确认双方皆为小米机,才能使用网络短信功能。
戴夫寇尔侧录红米机,回传应用程式清单
资安公司戴夫寇尔执行长翁浩正测试一支已经正常使用多时的红米机,其中只安装少数基本App,进行封包侧录。他表示,一开机,红米机就会把所有作业系统安装的程式名称传送到小米主机(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php),不过,Google上找不到这个 URL及Domain相关资料,并不知道用途。他认为,一般手机很少会将使用者的应用程式清单全数回传给手机业者,这是他测试红米手机最感到不解之处。
接着测试,翁浩正打开安全中心,发现资料回传到pmir.3g.qq.com服务器,但因为资料内容加密,无法得知传送内容为何。开机不久,他也从手机中看到,系统连线至小米位于北京的服务器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道传送什么资料。在系统输入文字时,会传送至“友盟 umeng”蒐集使用者资料以及统计数据(https://www.umeng.com/app_logs),但不知道传送内容为何。
翁浩正测试红米机时,发现很多连回小米服务器的封包记录,但他说,连线内容加密,加上很难确定哪个程式有无恶意或在传送什么资料,因此要检测一个手机是否有恶意程式,需要数个月时间来分析App、系统、底层。就他简单测试,只能知道红米手机有“蒐集”的事实。
戴夫寇尔执行长翁浩正测试红米手机时表示,平常很少见到会回传应用程式清单,这是他测试时最大的不解。不过,台湾小米官方则回复,主要是使用者启用云备份,未来供换新手机时,直接下载使用。
小米官方回复,一切都是正常连线且不涉及个人隐私
台湾小米官方回复指出,手机一开机后的连线行为,是为了回传IMEI确认是否为正货,并确认该号码是否申请过小米帐号;而传送短信时,要验证手机号码,是为了确认双方都是小米手机,才能使用网络短信;登录小米云服务所回传的资料,则是依照使用者设定,才能同步使用者手机资料。而回传应用程式清单,台湾小米官方答复,主要是使用者开启小米云备份功能,会同步使用者下载App,当使用者换新手机时,可以直接由云备份直接下载即可。
台湾小米官方表示,未经用户允许,不会主动上传涉及使用者隐私的个人资讯和资料,而其他包含个人隐私的个人资料、照片、短信等,默认都是关闭相关网络服务,需要使用者主动开启,也可以随时关闭。若是网络服务需要连回总公司服务器验证,所传输的资料都不涉及使用者隐私。
工业局和NCC将成App资安验证双主管机关
行政院资通安全办公室主任萧秀琴指出,在今年6月“行政院国家资通安全会报第26次委员会议纪录”的讨论案中便决议,未来手机内建的App一律由NCC负责管理,若是一般在各种软件市集下载的手机App,则由经济部工业局负责。她说,当职权分工确立后,相关部会就可以针对职掌,各自制定相关的检测办法,并鼓励手机厂商自主检测。
NCC(国家通讯传播委员会)科长谢志昌表示,因为目前手机App检测并没有法源的强制力,也没有一个共通的国际标准,等到NCC推出手机内建App自选性检测项目出炉后,届时NCC便会鼓励手机厂商参与自愿性检测,也允许通过检测的厂商,可以据此宣称该手机符合政府相关资安检测,希望能形成一种厂商之间的正面循环,也对消费者有益。
经济部工业局通讯科承办人员简大超则表示,目前相关的手机下载App资安检测的内容与方式,还在内部进行讨论中,等到内部讨论有初步共识后,才会进行后续的委外研议。究竟什么时候有成果,目前还没有定论。
心得:
当然小米说回传这些资料是为了更了解你的使用习惯,消费者也只能相信他们了,否则回传资料百百种,如何得知小米到底有没有拿你什么资料去做你想不到的事情呢?
不过依照我对大陆软件公司往年的做法来看(像是....某间3X0公司出的软件),用对岸的东西,先做好被看光的心理准备,应该会在事后不会那么愤慨就是了。