http://goo.gl/bVoXrT
红米资安又亮红灯 每半小时回传个资
中国产的小米机再爆隐私外泄疑云?今年7、8月,小米机被发现未经同意自行
上传客户资料至位于北京的服务器,之后在舆论压力下认错并提供更新档。但
根据港媒8日报导,红米1S在系统更新后,闲置状态下仍会每半小时传送加密
资料到一个位在新加坡的租用服务器。测试专家表示,从上传的密集度和档案
大小来看,不排除有涉及泄漏隐私之嫌。
8月初,一名香港手机使用者和新加坡、台湾的资安公司测试发现,小米3和红
米1s会在开机连网后自动回传用户电话号码和手机序号、自动开启网络短信回
传收发方号码到一个位在北京的服务器。8月10日,小米公司发布OTA手机系统
更新档,声明已修正网络短信自动启动功能,已无任何未经用户许可传输资料
到小米服务器的行为,并将正常上传改以加密进行。
然而,香港《苹果日报》9月8日报导指出,苹果委托资讯安全公司Nexusguard
Consulting、互联网协会网络保安及私隐小组召集人杨和生,对全新的香港版
红米1S手机进行13天的测试,发现红米机仍有资安疑虑。
在未安装更新前,红米机在闲置状态下,每天早上会将加密资料传至IP位置为
“北京蓝讯通信技术有限责任公司”(ChinaCache)的服务器,因传送的档案
大小由893B至30KB,杨和生认为不排除包含通讯录在内等文字资料。
安装OTA系统更新档后,上传目标改为位于新加坡的Amazon服务器,档案大小
缩减为143B至4KB,传送频率为半小时一次,属不寻常的密集频率。而Amazon
服务器因成本、技术门槛低,被认为是近年骇客的新宠。
Nexusguard Consulting之后将红米原厂系统删除,改安装他方制作的作业系
统,进行相同测试后发现,不再有自行上传资料到北京或新加坡服务器的行为
,故推测是由原厂作业系统启动上传。
除了作业系统,“小米应用商店”也有隐私疑虑。
由于中国的资讯审查制度,小米手机的中国版本无法使用Google Play Store
服务,而是使用自行开发的小米商店,程式外观与前者非常相似。Nexusguard
Consulting测试后发现,在小米应用商店下载的小米版WhatsApp,发讯时会同
时将资料传到九个在中国的服务器,分属于中国联通、北京森华易 腾通信技术
有限公司、北京蓝讯通信技术有限责任公司。
最早踢爆小米隐私疑虑的香港网友称8月13日就发动一人一信要求香港个人资料
私隐专员公署进行调查,但未获官方积极回应。
今日香港苹果日报火力全开打小米XD:
更新软件后 变每半小时“过料”红米传资讯到星洲 专家指极不寻常
http://hk.apple.nextmedia.com/news/art/20140908/18859460
资料传北京 Apps疑被做手脚
http://hk.apple.nextmedia.com/news/art/20140908/18859462
恐遭内地监控 社运人士拒用
http://hk.apple.nextmedia.com/news/art/20140908/18859468
抄袭苹果以平制胜 风靡内地
http://hk.apple.nextmedia.com/news/art/20140908/18859470
心得:
“我们一般平民百姓的个资没人要看啦,上传也没关系啊,又卖不到多少钱。像
iCloud那样有名人用才会出事啦,我们免惊。”
“红米手机都这么便宜了,不爽你可以去买别家啊,反正你也买不到这么便宜的
手机了。”
“本来服务器架在中国我的资料就是要给中国看啊,你看apple和google还不是
一样回传给美国,大家一样烂但是票投国民....,啊不是是我比较相信中国。”