【新闻】小米、红米手机收集用户数据,发往多个服务器
报道原文:http://www.hkepc.com/11564F-Secure針對「小米」手機作出調查
初歩確定有「蒐集」數據的行為
文: John Lam / 新聞中心
文章索引:行動電話 XiaoMi IT 港聞 IT 要聞
廣 告 advertisement
F-Secure 8 日公佈針對「小米」手機會否把個人資料回傳給北京的傳聞作出測試報告,結果發現小米手機在背景作業中出現回傳至 api.account.xiaomi.com 伺服器,甚至在新機還沒有進行任何初始安裝設定,單純連上 WIFI 也會把用戶的手機號和 IEMI 傳到位於北京的伺服器。
據 F-Secure 表現,市場傳言市場上小米手機以至各種來自中國推出的 App ,包括獵豹移動、奇虎 360 、 WeChat 及一些影音 App 等,均被發現有資枓回傳中國的疑慮, F-Secure 認為中國業者多有蒐集手機使用者行為的情況,但不能判斷回傳資料數據的用途,難以判定是否存在惡意行為。
F-Secure 位於馬來西亞的實驗室就在市場上抽樣測試兩款全新小米 3 代及紅米 1s 小機,並在 7 月 31 日至 8 月 6 日進行了反覆測試,為求測試果準確而不會安裝小米雲服務,開機後不會進行其他設定並插入沒有網絡功能的手機 SIM 卡,手機唯一連線途徑是能檢測封包資訊的 F-Secure 實驗室無線 AP 。
芬安全亞洲區資安顧問吳樹謙指出,當 Sim 卡插紅米 1s 或是小米 3 代手機,並且連接至 F-Secure 實驗室無線 AP ,發現手機會自動把手機 IMSI 、 IEMI 序號及 SIM 卡手機號碼,自動傳送至 api.account.xiaomi.com 伺服器。此外,在手機新增手機通訊錄聯絡人並發送簡訊後,手機會把接收者的號碼轉發至該伺服器中。
吳樹謙表示不能判斷資料回傳是否惡意,手機在剛連上 WIFI 時就自動把手機的 SIM 卡號回傳至 api.account.xiaomi.com 伺服器的做法,的確會令使用者感到擔憂,一般智能力手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼,同樣也不會收集傳接簡訊的手機號碼。
在測試時更發現,手機會把作業系統安裝的程式名單傳到 policy.app.xiaomi.com 伺服器,而 Google 對此伺服器 URL 及 Domain 沒有相關資料,不明白業者為何要取得使用者的應用程式安裝清單, F-Secure 對紅米 1s 手機的行為感到疑慮。
當打開手機的****, F-Secure 發現有加密的封包回傳至 pmir.3g.qq.com 伺服器,手機在背景時會不定時連線至小米位於北京的伺服器 out68-9.mxzwb3.hichina.com ,在系統輸入文字時則會傳送資料至 www.umeng.com 伺服器,由於傳送的資料被加密, F-Secure 並無法得悉被傳送的資料為何。
F-Secure 暫時不會評論小米手機把資料回傳至小米伺服器的做法是否存在惡意,實驗室已經收集了有關封包並需要數個月時間作出分析包括 App 及系統底層,但就初歩測試已確定有「蒐集」數據的行為。
苹果也是这样啊,正常啦 Posted by benhsu123 on 2014-8-10 10:55 http://www.ibmnb.com/images/common/back.gif
苹果也是这样啊,正常啦
我不觉得正常。也不会因为另外还有哪个品牌也这样就觉得正常。 美好的事情即将发生:D :D :D 强烈谴责这种行为 收集用户信息已成常态,不止小米一家在做这种事,美国做得更隐密。
但别人做不等于小米做就是对的。
建议台巴子还是先从斯诺登说起比较好。 小米在香港/台湾官方Facebook发声明回应收集用户隐私
分享到:时间:2014-08-11小编:Ez人气:547
针对此前台湾媒体报道的MIUI向北京服务器回传数据,涉及“收集用户隐私”的问题,小米公司在其香港、台湾官方Facebook发表声明进行了回应。
小米表示,未经用户允许,不会主动上传设计用户隐私的个人资讯和资料。
之前,F-Secure的测试报告指出,MIUI会将IMSI(国际移动用户识别码)、IMEI和手机号码等用户信息回传至小米服务器。小米称,系“网络短信”服务所致,将会在随后的OTA升级中,关闭该服务的自动启动功能。
小米全球副总裁Hugo Barra也在Google+上表示,为了给用户更多选择自由,小米将在8月10日提供OTA系统更新,把小米云短信服务(Cloud Messaging,“免费网络短信”)默认关闭。
声明全文:
小米是一家行动互联网公司,致力于提供高质量的手机和优质的互联网服务,同时非常重视保护用户私隐。小米提供的所有互联网服务均符合小米公司私隐条款:未经用户允许,不会主动上传涉及用户私隐的个人信息和数据。
基于近日台湾的媒体报导,部分用户对“网络简讯(即网络短信)”自动启动后的个人私隐数据传送的担忧,小米公司非常重视,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网络简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网络简讯”可经由“设置>小米云服务>自由网简讯”,或至简讯应用中启动该服务。
小米公司对给用户造成困扰表示诚挚歉意,也感谢广大媒体、用户第一时间给我们反馈问题和修正机会,给小米更快进步空间,为用户持续提供更优质更安全的互联网服务。
小米公司
2014年8月10日
附:“网络简讯”服务原理详解
Q:小米的“网络简讯”服务是什么?
A:“网络简讯”是MIUI的系统功能之一,传统简讯是通过电信公司简讯网关系统(SMS Gateway)发送简讯。而MIUI的“网络简讯”是通过IP传输协议,为用户提供免费的简讯传递服务。
Q:“网络简讯”如何运作?会储存用户个人资料吗?
A:小米手机在开机后,会通过小米服务器和IP通讯协议,自动启动“网络简讯”服务,提供用户免费发送简讯的服务。MIUI“网络简讯”使用手机唯一标识符(包括电话号码、IMSI及IMEI)对应后提供两设备间的数据传输,其原理和其他实时通讯应用软件相仿。而用户的个人私隐信息,包括电话号码和通讯簿等信息,都不会储存在“网络简讯”小米服务器上。经加密处理的传输信息内容,也不会被保留于小米服务器上。
Q:以上所说和近日引发疑虑的用户私隐问题有什么关系?小米如何应对?
A:近日台湾媒体引用资安公司芬安全(F-Secure)的测试报告,指出小米手机将电话号码回传至小米服务器,此报告指的即是“网络简讯”服务。
小米公司非常重视保护用户私隐,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网络简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网络简讯”可经由“设置>小米云服务>自由网简讯”,或至简讯应用中启动该服务。
Q:“网络简讯”服务究竟如何处理用户的电话号码?
A:“网络简讯”服务主要使用电话号码,作为用户间传送信息的标识符,同时也会使用IMEI及IMSI来检测手机的在线状态。
当用户发送简讯时,如手机正处于连网状态“网络简讯”就会以IP发送该条简讯;如收信者非在线(意味着无法立即通过IP连接),系统则会以一般简讯送出,而不会选择通过IP发送。当用户编辑一条简讯或查看一个联络人信息时,手机会通过“网络简讯”服务器以检测该联络人的在线状态,如联络人在线,会以蓝色图示表示;如非在线状态或该用户并未使用“网络简讯”,则会出现灰色图示。此举是为了让用户能够了解,该简讯是付费还是免费发送。
在上述过程中,收信者的电话号码,仅是用来辨认该使用者的在线状态,以便判断发送简讯的方式(通过IP免费发送或电信公司简讯系统付费发送)。任何用户的电话号码和通讯簿等个人资料,都不会储存在网络简讯服务器中。
今天(8月10日)发布的OTA升级包,同时增加了把用于实现“网络简讯”识别用户的电话号码加密的功能,为用户增加一道额外的安全防护。
未来,我们会持续完善“网络简讯”功能,为用户提供更优质更安全的服务。
(来源:驱动之家)
页:
[1]