看板 MobileComm作者 Rigaudon (支持htc,支持台灣貨)標題 [新聞] 小米手機偷傳資料到北京?時間 Fri Aug 8 11:49:06 2014
http://www.ithome.com.tw/news/89991
小米手機偷傳資料到北京?iThome找資安專家實測:有
小米手機偷傳資料到北京引起網友砲轟,小米官方否認,所以,iThome找來資安專家實測,全新紅米手機打開包裝,裝上Sim卡,開機連上網路,還沒進入任何初始安裝設定,也沒任何同意資料蒐集動作,小米手機就會自動回傳用戶手機號碼到北京。
許多臺灣民眾對於使用中國產品缺乏信心,陸續有傳出小米(包含紅米)手機以及各種來自中國的App,例如獵豹移動、奇虎360、WeChat及一些影音App等,都傳出有資料回傳中國的疑慮。
多數資安專家都同意,中國業者的確有蒐集使用者行為的資料,但因為一般人都沒有能力判斷是否真有回傳資料,也無法判斷這樣的作法是否有惡意。
因此,iThome找來資安專家實機測試日前傳出資料回傳中國風波的紅米手機。檢測過程中,確實發現紅米手機有資料回傳小米北京總公司伺服器,不論是全新的紅米手機,或者是使用一陣子的紅米手機,都有類似現象。
芬安全實測全新紅米機,剛開機連網就回傳手機序號和手機號碼
iThome聯繫資安公司芬安全(F-Secure)馬來西亞亞洲實驗室,實測兩款全新紅米機與小米機,從7月31日~8月6日以將近一周的時間,每個環節都經過資安實驗室人員2~3次的反覆測試,得出以下的結果。
芬安全亞洲區資安顧問吳樹謙表示,中低價位的中國品牌智慧型手機小米手機,近期在馬來西亞也非常熱門,以每周只在網路上銷售1萬支的飢餓行銷手法,不僅帶動高知名度,也成為馬來西亞熱門手機品牌。
芬安全實際採購2款小米機第三代以及紅米機1s(RedMi1S)進行實測,主要是希望釐清,許多媒體報導小米公司手機蒐集過多資訊並回傳小米北京總公司的說法,是否為真。
首先,芬安全為了確保測試結果沒有受到其他環境的干擾,便在馬來西亞當地採購小米機與紅米機各一支,進行開箱後的實測。他說,剛開始,為了確保手機「乾淨」,並未安裝或連接小米雲服務,只有開機並且插入電信公司的SIM卡後,之後就連接到芬安全實驗室的無線AP。
吳樹謙指出,在手機插入SIM卡、連上Wi-Fi並啟動時,芬安全實驗室發現,實測的紅米手機1s會連上小米手機某臺伺服器(api.account.xiaomi.com),並且回傳手機序號IMEI碼和插入SIM卡的手機號碼到該伺服器。
之後,芬安全亞洲實驗室允許紅米手機使用GPS定位服務,並添加一個新的聯繫人到電話簿,然後進行發送和接收簡訊以及多媒體簡訊測試,也測試打電話與接聽電話。
吳樹謙表示,在測試時發現,在新增手機通訊錄聯絡人並發送簡訊後,測試的紅米手機會把接收簡訊者的手機號碼,同樣轉發到該伺服器中。
接下來,芬安全亞洲區實驗室啟用並登錄小米雲服務,然後重複同樣的測試步驟。此時,則發現,受測紅米手機的國際行動用戶辨識碼(IMSI)資訊,及手機序號IMEI號碼和電話號碼,都傳送到api.account.xiaomi.com伺服器。
測試紅米手機的過程中,吳樹謙指出,芬安全並不判斷怎麼樣的資料回傳是對的,只就測試結果釐清一些人的疑慮。他說,全新紅米手機剛啟用並連上Wi-Fi時,紅米手機就已經會自動將手機的SIM卡電話號碼以及手機序號IMEI碼的資料回傳小米手機的北京伺服器,而且過程中都以明碼傳送。
而測試收發簡訊時,芬安全也發現,小米手機會把接收簡訊者的電話號碼回傳小米手機北京伺服器。
最後測試啟用小米雲服務時,紅米手機會連回小米手機北京伺服器,並回傳國際行動用戶辨識碼(IMSI)、手機序號(IMEI號碼)和電話號碼,也都會傳送到api.account.xiaomi.com伺服器。
戴夫寇爾資安研究員岑志豪表示,一般手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼。
芬安全亞洲實驗室測試結果,紅米手機在開機連網後,發現會連上api.account.xiaomi.com伺服器,回傳手機序號(IMEI)碼(上圖)及手機號碼(下圖)給該小米伺服器。臺灣小米官方則回覆,開機後是為了驗證手機是否為真品,且確認雙方皆為小米機,才能使用網路簡訊功能。
戴夫寇爾側錄紅米機,回傳應用程式清單
接著測試,翁浩正打開安全中心,發現資料回傳到pmir.3g.qq.com伺服器,但因為資料內容加密,無法得知傳送內容為何。開機不久,他也從手機中看到,系統連線至小米位於北京的伺服器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道傳送什麼資料。在系統輸入文字時,會傳送至「友盟 umeng」蒐集使用者資料以及統計數據(
https://www.umeng.com/app_logs),但不知道傳送內容為何。
翁浩正測試紅米機時,發現很多連回小米伺服器的封包記錄,但他說,連線內容加密,加上很難確定哪個程式有無惡意或在傳送什麼資料,因此要檢測一個手機是否有惡意程式,需要數個月時間來分析App、系統、底層。就他簡單測試,只能知道紅米手機有「蒐集」的事實。
戴夫寇爾執行長翁浩正測試紅米手機時表示,平常很少見到會回傳應用程式清單,這是他測試時最大的不解。不過,臺灣小米官方則回覆,主要是使用者啟用雲備份,未來供換新手機時,直接下載使用。
小米官方回覆,一切都是正常連線且不涉及個人隱私
臺灣小米官方回覆指出,手機一開機後的連線行為,是為了回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號;而傳送簡訊時,要驗證手機號碼,是為了確認雙方都是小米手機,才能使用網路簡訊;登錄小米雲服務所回傳的資料,則是依照使用者設定,才能同步使用者手機資料。而回傳應用程式清單,臺灣小米官方答覆,主要是使用者開啟小米雲備份功能,會同步使用者下載App,當使用者換新手機時,可以直接由雲備份直接下載即可。
臺灣小米官方表示,未經用戶允許,不會主動上傳涉及使用者隱私的個人資訊和資料,而其他包含個人隱私的個人資料、照片、簡訊等,預設都是關閉相關網路服務,需要使用者主動開啟,也可以隨時關閉。若是網路服務需要連回總公司伺服器驗證,所傳輸的資料都不涉及使用者隱私。
工業局和NCC將成App資安驗證雙主管機關
行政院資通安全辦公室主任蕭秀琴指出,在今年6月「行政院國家資通安全會報第26次委員會議紀錄」的討論案中便決議,未來手機內建的App一律由NCC負責管理,若是一般在各種軟體市集下載的手機App,則由經濟部工業局負責。她說,當職權分工確立後,相關部會就可以針對職掌,各自制定相關的檢測辦法,並鼓勵手機廠商自主檢測。
NCC(國家通訊傳播委員會)科長謝志昌表示,因為目前手機App檢測並沒有法源的強制力,也沒有一個共通的國際標準,等到NCC推出手機內建App自選性檢測項目出爐後,屆時NCC便會鼓勵手機廠商參與自願性檢測,也允許通過檢測的廠商,可以據此宣稱該手機符合政府相關資安檢測,希望能形成一種廠商之間的正面循環,也對消費者有益。
經濟部工業局通訊科承辦人員簡大超則表示,目前相關的手機下載App資安檢測的內容與方式,還在內部進行討論中,等到內部討論有初步共識後,才會進行後續的委外研議。究竟什麼時候有成果,目前還沒有定論。
心得:
當然小米說回傳這些資料是為了更瞭解你的使用習慣,消費者也只能相信他們了,否則回傳資料百百種,如何得知小米到底有沒有拿你什麼資料去做你想不到的事情呢?
不過依照我對大陸軟體公司往年的做法來看(像是....某間3X0公司出的軟件),用對岸的東西,先做好被看光的心理準備,應該會在事後不會那麼憤慨就是了。
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.114.47.203
※ 文章網址: http://www.ptt.cc/bbs/MobileComm/M.1407469753.A.783.html
→ ctotw:米粉表示...2F 08/08 11:52
→ ctotw:很想問耶~ 台灣科技廠有限制使用這家的手機嗎?4F 08/08 11:53
→ samsumg:蒐集電話號碼跟IMEI很過分嗎?
蒐集使用者的app清單很過分嗎?5F 08/08 11:55
推 Skyblade:大陸人都很善良,傳給他們一下下又沒關係7F 08/08 11:58
→ BlackBird:傳IMEI還可以接受,不過為傳簡訊對像的號碼就太...8F 08/08 11:59
→ ukiki:那我用小米3怎麼辦 該換掉嗎 現在正想買G3 好理由?9F 08/08 11:59
→ samsumg:蒐集就算了 還用明碼傳送 資安老師常請假12F 08/08 12:02
推 andy90498:不懂= = 你覺得沒經過你同意 你可以接受就OK阿13F 08/08 12:02
→ https:傳到中國怕得要死 傳到米國非常安全又可靠 XD14F 08/08 12:04
宏達電手機安全有漏洞 | 蘋果日報
【陳建彰╱台北報導】宏達電(2498)智慧型手機出現安全漏洞問題,但是其美國子公司已與美國聯邦貿易委員會(FTC)達成和解,將開發並釋出軟體更新。宏達電說,已完成改善大多數於2010年12月後在美國發布裝置中所發現的安全漏洞,目前正努力推出剩餘軟體更新,建議客戶收到更新通知時可立即下載。在台灣方面,宏達電主管表示,凡搭載Android 4.0/Sense 4以上軟體版本的全球hTC裝置均具備自動安全更新,內部正致力於提供搭載較早期版本軟體裝置可能的修補方案,由於大部分手機用戶都已進行系統或軟體升級,預期受影響的人數應該不多。 ...
推 cama:沒用過小米灌金山毒霸+360衛士 百度瀏覽器 別說資安18F 08/08 12:17
推 signm:再護航阿
拿漏洞和內建木馬比會不會有點好笑19F 08/08 12:18
→ ZxoF:中國品牌最nice了 這中間一定有什麼誤會21F 08/08 12:22
→ signm:以下開放炊粉護航22F 08/08 12:22
→ samsumg:漏洞都被FTC review成這樣 未經允許偷傳個資也還好嘛23F 08/08 12:25
推 wac08:還好我都用華為25F 08/08 12:28
推 signm:小米安裝金山+360+影音app史上最毒的手機誕生了26F 08/08 12:31
→ chun0629:驗證正貨是啥...難不成有高仿小米?!28F 08/08 12:39
→ psplay …
推 psplay:紅米很多仿的阿,雙核假四核一堆30F 08/08 12:52
→ sam613:沒有傳才是奇怪,要懷疑是假貨lol31F 08/08 12:52
推 urdie:回傳到中國 才能進入到祖國資料保護去阿 讚!32F 08/08 12:53
推 Jason0813:那為什麼一開始不講清楚呢? 而要等被測出來了才說明33F 08/08 12:54
推 LZong:再護航阿,連回傳都用明碼,有夠明目張膽
明講還賣得出國外嗎XD34F 08/08 12:55
推 aqwerty:小米買來第一件事就是把系統刷掉36F 08/08 12:57
推 kenimai:太可怕了, 買台華為壓壓驚~38F 08/08 12:58
推 x5723:無聊
就不要再搶小米喔39F 08/08 12:59
推 Jason0813:父親節不知道會增加多少的回傳量...41F 08/08 13:00
推 wuliou:護航的米粉出來面對啊43F 08/08 13:05
推 DrZoung:太口怕了,先搶台紅米NOTE壓壓驚44F 08/08 13:05
推 hihi29:明明就是保護台灣同胞免於X獨份子的威脅 不好嗎?46F 08/08 13:08
推 cbJ2097nch:還好我小米有裝360 不怕不怕 快買台華為壓壓驚47F 08/08 13:09
→ hihi29:以後統一的時候 買小米手機免報戶口 多方便!48F 08/08 13:11
→ kisia:拿中國軟體跟美國軟體比........49F 08/08 13:13
推 dkchronos:太可怕了,怒買紅米送人,順便裝360衛士+Hao12350F 08/08 13:17
推 iceonly:如果先被hash完再傳送勉強可以理解,傳明碼跟我說是為了備份這叫鬼扯51F 08/08 13:17
推 miku5566:小米跟蘋果列入兩大黑心手機。完全不考慮53F 08/08 13:18
推 twhi:一個無名小卒的電話及他朋友的電話被傳當然沒差,
但是如果500萬個電話及其他們朋友的電話被傳,整個台灣的人與人之間的關係被中國掌控,我只能說樓上
太多人太單純了54F 08/08 13:34
推 jf7642:米粉怒跳針APPLE也會收集使用者資料58F 08/08 13:34
推 flypower:NCC搞什麼,怎麼可以讓這種設備公開販售?60F 08/08 13:40
→ ctotw:太可怕了! 還好我買美日韓品牌裝金山和360防毒63F 08/08 13:47
推 FerrariSpA:G2剛開也是傳資料給韓國 確認不是山寨產品阿64F 08/08 13:57
推 w82814704:炊粉表示:支持郭董使用華為的4G設備
炊粉:大家都是支那賤畜 小米的做法是在維持兩岸的聯繫66F 08/08 14:04
→ OscarShih:太可怕了,美國韓國中國日本都有問題,還是買台灣的手機比較安全70F 08/08 14:18
→ system246:觀感差,像搶著讓人上傳個資的感覺:P72F 08/08 14:24
推 haoguy:顆顆 把紅米換掉換台灣ASUSzenfone5惹73F 08/08 14:25
推 a9564208:傳給美國韓國ok,傳給中國就不ok XD75F 08/08 14:32
推 zeanmar:當然阿 如果一定會傳 米國跟中國讓你選你選哪邊XDD76F 08/08 14:34
→ zeanmar:林杯寧可傳給韓國也不傳中國...78F 08/08 14:34
推 eric03092000:真的要說的話最驚人的資訊收集者是GOOGLE
他有妳的通訊錄資料,瀏覽器書籤,我的最愛,還有連拍照也會自動同步,位置紀錄等等
只要你使用ANDROID的GOOGLE服務
不過還不是照用無誤79F 08/08 14:36
推 jabari:免錢的最貴 便宜的有鬼 科科84F 08/08 14:39
推 eric03092000:我反而覺得這些資訊都用明碼傳送比較離譜,就跟逼TALK剛開始時一樣85F 08/08 14:42
→ w3160828:GOOGLE可能連你的簡訊內容都有哩 一傳輸兒童色情簡訊馬上報警抓你87F 08/08 14:43
推 blackwindy:基本上google還是有照policy走拉 不然早被告翻89F 08/08 14:46
推 Daniel2468:google同步的服務其實都有徵求使用者同意,只是沒人認真看LoL
然後兒童色情內容被抓是email90F 08/08 15:06
推 signm:又再跳針了,小米有沒有偷回傳個資(y/n)?93F 08/08 15:07
→ OscarShih:沒人知道小米真的有沒有傳個資,但鄉民已經幫小米升級成超級hacker了, 就像台灣八點檔那種94F 08/08 15:14
推 HiddenGuy:搞不好一邊批小米 然後一邊用中國出的APP(X豹X信360)96F 08/08 15:20
推 chadzen:mail或手機碼可以賣給詐騙的啊,97F 08/08 15:22
→ OscarShih:快圖瀏覽和ESexplorer都是左岸做的樣子
MXplayer應該也是
阿更正MXplayer應該不是XD98F 08/08 15:25
推 GameGyu:有興趣的再去看看自己的手機有沒有裝中國的app(甚至直接內建?) 或中國的CPU 或用過中國的軟體root?101F 08/08 15:38
推 g29050:號碼最好賣了,反正米粉們也不會在意收到一簡訊和電話不是嗎?103F 08/08 15:52
→ tsainan:ES Explorer現在老闆應該就是百度105F 08/08 15:52
→ g29050:米粉:我米cp值好高~~萬歲~~個資都送你吧~~106F 08/08 15:53
推 AAPL:中國手機嘛107F 08/08 15:54
推 lmc66:幸好我腦袋還很正常 沒在瘋小米109F 08/08 16:07
推 twhi:google是美國公司:台灣嚮往國家,小米是中國公司
:台灣敵對國.....怎能比
還在幫腔小米的一定不知道中國怎麼在非洲佈局110F 08/08 16:11
推 carlos017:ES Explorer之前某幾版,背景突然開始常駐ESRemoteService
被大批使用者反應後,更新完消失回復正常,不說原因113F 08/08 16:38
推 Dailin:某些炊粉:傳資料給祖國其實沒什麼的116F 08/08 16:49
→ OscarShih:我覺得就事論事吧, 什麼祖國的都已經政治化了117F 08/08 17:11
推 g29050:就事論事 光傳電話號碼他就可以拿你電話號碼做很多事吧
每天都會有小芬小惠之類的打給你喔揪咪118F 08/08 17:21
→ OscarShih:那也是猜想而已
為什麼你信google信apple卻不信小米
都沒有任何事證和實損, 直接幫別人冠上罪名,想一下自己在做的是什麼事
很多人都是因為"中國"而怎樣,真的也不用討論了121F 08/08 17:26
推 ianqoo2000:至少以信譽而言,google或者apple(美國)總比xiaomi(中國)來得有信譽多了,萬一小米從中監控您手機一切通話行為,這該怎麼辦?126F 08/08 17:42
推 iMANIA:就人治國家與法治國家,你比較相信誰
而當悲憤中國品牌常被這樣對待前,也想想這也是中國咎由自取129F 08/08 17:43
推 ianqoo2000:就像上面的人說到,要給資料,給美國韓國甚於給中國拉132F 08/08 17:49
推 samsumg:很簡單,在歐美擅自蒐集privacy而未經同意,包你公司脫褲爛133F 08/08 17:52
推 OscarShih:所以我才說沒有討論的空間, 因為你們看到國藉就end啦看你要當一個看立場的人, 還是看事證的人135F 08/08 17:53
推 phar5336:問題是立場和事證這次小米都站不住腳阿wwww137F 08/08 17:55
推 Daniel2468:中台就是政治問題啊,不然是體育問題嗎....138F 08/08 18:04
→ jianghu56:台灣早就被掌控的差不多了 哪需要多此一舉Zzz139F 08/08 18:04
推 iMANIA:樓上的論點就像是人都會死,那生病的時候幹嘛看醫生zzz140F 08/08 18:11
→ dslite:google跟支那比..哈哈哈142F 08/08 18:12
推 dw01:我看品牌手機好像都會收集資料阿,不過是什麼資料
我也不知道,研究過許多品牌的隱私政策143F 08/08 18:31
推 w82814704:說不定以後在小米手機內建的瀏覽器搜尋64天安門會有警察到你家把門踹爆說要查水表呢XD
米4 LTE 搭配華為的基地台真是絕配阿145F 08/08 18:32
推 MadMagician:就是中國才要怎麼樣 惡名昭彰的人你還要放進家裡
出事了活該怪誰148F 08/08 18:43
→ kcl0801:想想為何郭台銘要COST DOWN 想用華為的設備 卻被平常沒什麼建樹的NCC擋下來就知道了 他可沒擋種花用NOKIA150F 08/08 19:02
→ jianghu56:↑硬要說的話 也可以說因為台灣是美國的狗腿子啊152F 08/08 19:10
推 Joey452:嗯~前幾天想說要輸入信用卡號碼買App,結果卓卓系統實在讓我無法全部放心
最後還是打消念頭153F 08/08 19:21
推 w82814704:原來NOKIA是美國的品牌 炊粉的神邏輯
炊粉表示:台灣也是芬蘭的走狗159F 08/08 20:58
推 FRX:還好沒買過....161F 08/08 21:07
推 will008w:吹粉表示:個資奉獻給祖國阿陸仔是種榮耀!162F 08/08 21:17
→ cy942950513:想也知道沒開也會傳,就算有開,小米何必需要所有
人的手機號碼?166F 08/08 23:40
推 oca:就對岸眾多廠商有過太多黑記錄
小米又有這種行為 會去小心 去懷疑他也是很剛好而已而且看過往歷史 對岸廠商並不一定會在開頭就搞鬼
告誡自己不要用對岸產品與軟體只是基本的資安防護168F 08/09 00:30
推 dotZu:沒有傳是假貨 +1172F 08/09 19:20
推 ahlolha: 米國有拿上千飛彈對著我們嗎 某樓護航能力實在薄
弱174F 08/10 14:26
--