2014年9月9日 星期二

紅米資安又亮紅燈 每半小時回傳個資

紅米資安又亮紅燈 每半小時回傳個資

中國製的紅米1S又傳資安疑慮。(取自官網)

中國產的小米機再爆隱私外洩疑雲?今年7、8月,小米機被發現未經同意自行上傳客戶資料至位於北京的伺服器,之後在輿論壓力下認錯並提供更新檔。但根據港媒8日報導,紅米1S在系統更新後,閒置狀態下仍會每半小時傳送加密資料到一個位在新加坡的租用伺服器。測試專家表示,從上傳的密集度和檔案大小來看,不排除有涉及洩漏隱私之嫌。

8月初,一名香港手機使用者和新加坡、台灣的資安公司測試發現,小米3和紅米1s會在開機連網後自動回傳用戶電話號碼和手機序號、自動開啟網路簡訊回傳收發方號碼到一個位在北京的伺服器。8月10日,小米公司發布OTA手機系統更新檔,聲明已修正網路簡訊自動啟動功能,已無任何未經用戶許可傳輸資料到小米伺服器的行為,並將正常上傳改以加密進行。

然而,香港《蘋果日報》9月8日報導指出,蘋果委託資訊安全公司Nexusguard Consulting、互聯網協會網絡保安及私隱小組召集人楊和生,對全新的香港版紅米1S手機進行13天的測試,發現紅米機仍有資安疑慮。

在未安裝更新前,紅米機在閒置狀態下,每天早上會將加密資料傳至IP位置為「北京藍訊通信技術有限責任公司」(ChinaCache)的伺服器,因傳送的檔案大小由893B至30KB,楊和生認為不排除包含通訊錄在內等文字資料。

安裝OTA系統更新檔後,上傳目標改為位於新加坡的Amazon伺服器,檔案大小縮減為143B至4KB,傳送頻率為半小時一次,屬不尋常的密集頻率。而Amazon伺服器因成本、技術門檻低,被認為是近年駭客的新寵。

Nexusguard Consulting之後將紅米原廠系統刪除,改安裝他方製作的作業系統,進行相同測試後發現,不再有自行上傳資料到北京或新加坡伺服器的行為,故推測是由原廠作業系統啟動上傳。


除了作業系統,「小米應用商店」也有隱私疑慮。

由於中國的資訊審查制度,小米手機的中國版本無法使用Google Play Store服務,而是使用自行開發的小米商店,程式外觀與前者非常相似。Nexusguard Consulting測試後發現,在小米應用商店下載的小米版WhatsApp,發訊時會同時將資料傳到九個在中國的伺服器,分屬於中國聯通、北京森華易騰通信技術有限公司、北京藍訊通信技術有限責任公司。

最早踢爆小米隱私疑慮的香港網友稱8月13日就發動一人一信要求香港個人資料私隱專員公署進行調查,但未獲官方積極回應。

轉載自《風傳媒