[新聞] 小米手機偷傳資料到北京?iThome找資安專家實測:有已回收

看板MobileComm作者 (支持htc,支持台灣貨)時間9年前 (2014/08/08 11:49), 編輯推噓84(84095)
留言179則, 93人參與, 最新討論串1/1
http://www.ithome.com.tw/news/89991 小米手機偷傳資料到北京?iThome找資安專家實測:有 小米手機偷傳資料到北京引起網友砲轟,小米官方否認,所以,iThome找來資安專家實測,全新紅米手機打開包裝,裝上Sim卡,開機連上網路,還沒進入任何初始安裝設定,也沒任何同意資料蒐集動作,小米手機就會自動回傳用戶手機號碼到北京。 許多臺灣民眾對於使用中國產品缺乏信心,陸續有傳出小米(包含紅米)手機以及各種來自中國的App,例如獵豹移動、奇虎360、WeChat及一些影音App等,都傳出有資料回傳中國的疑慮。 多數資安專家都同意,中國業者的確有蒐集使用者行為的資料,但因為一般人都沒有能力判斷是否真有回傳資料,也無法判斷這樣的作法是否有惡意。 因此,iThome找來資安專家實機測試日前傳出資料回傳中國風波的紅米手機。檢測過程中,確實發現紅米手機有資料回傳小米北京總公司伺服器,不論是全新的紅米手機,或者是使用一陣子的紅米手機,都有類似現象。 芬安全實測全新紅米機,剛開機連網就回傳手機序號和手機號碼 iThome聯繫資安公司芬安全(F-Secure)馬來西亞亞洲實驗室,實測兩款全新紅米機與小米機,從7月31日~8月6日以將近一周的時間,每個環節都經過資安實驗室人員2~3次的反覆測試,得出以下的結果。 芬安全亞洲區資安顧問吳樹謙表示,中低價位的中國品牌智慧型手機小米手機,近期在馬來西亞也非常熱門,以每周只在網路上銷售1萬支的飢餓行銷手法,不僅帶動高知名度,也成為馬來西亞熱門手機品牌。 芬安全實際採購2款小米機第三代以及紅米機1s(RedMi1S)進行實測,主要是希望釐清,許多媒體報導小米公司手機蒐集過多資訊並回傳小米北京總公司的說法,是否為真。 首先,芬安全為了確保測試結果沒有受到其他環境的干擾,便在馬來西亞當地採購小米機與紅米機各一支,進行開箱後的實測。他說,剛開始,為了確保手機「乾淨」,並未安裝或連接小米雲服務,只有開機並且插入電信公司的SIM卡後,之後就連接到芬安全實驗室的無線AP。 吳樹謙指出,在手機插入SIM卡、連上Wi-Fi並啟動時,芬安全實驗室發現,實測的紅米手機1s會連上小米手機某臺伺服器(api.account.xiaomi.com),並且回傳手機序號IMEI碼和插入SIM卡的手機號碼到該伺服器。 之後,芬安全亞洲實驗室允許紅米手機使用GPS定位服務,並添加一個新的聯繫人到電話簿,然後進行發送和接收簡訊以及多媒體簡訊測試,也測試打電話與接聽電話。 吳樹謙表示,在測試時發現,在新增手機通訊錄聯絡人並發送簡訊後,測試的紅米手機會把接收簡訊者的手機號碼,同樣轉發到該伺服器中。 接下來,芬安全亞洲區實驗室啟用並登錄小米雲服務,然後重複同樣的測試步驟。此時,則發現,受測紅米手機的國際行動用戶辨識碼(IMSI)資訊,及手機序號IMEI號碼和電話號碼,都傳送到api.account.xiaomi.com伺服器。 測試紅米手機的過程中,吳樹謙指出,芬安全並不判斷怎麼樣的資料回傳是對的,只就測試結果釐清一些人的疑慮。他說,全新紅米手機剛啟用並連上Wi-Fi時,紅米手機就已經會自動將手機的SIM卡電話號碼以及手機序號IMEI碼的資料回傳小米手機的北京伺服器,而且過程中都以明碼傳送。 而測試收發簡訊時,芬安全也發現,小米手機會把接收簡訊者的電話號碼回傳小米手機北京伺服器。 最後測試啟用小米雲服務時,紅米手機會連回小米手機北京伺服器,並回傳國際行動用戶辨識碼(IMSI)、手機序號(IMEI號碼)和電話號碼,也都會傳送到api.account.xiaomi.com伺服器。 戴夫寇爾資安研究員岑志豪表示,一般手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼。 芬安全亞洲實驗室測試結果,紅米手機在開機連網後,發現會連上api.account.xiaomi.com伺服器,回傳手機序號(IMEI)碼(上圖)及手機號碼(下圖)給該小米伺服器。臺灣小米官方則回覆,開機後是為了驗證手機是否為真品,且確認雙方皆為小米機,才能使用網路簡訊功能。 戴夫寇爾側錄紅米機,回傳應用程式清單 資安公司戴夫寇爾執行長翁浩正測試一支已經正常使用多時的紅米機,其中只安裝少數基本App,進行封包側錄。他表示,一開機,紅米機就會把所有作業系統安裝的程式名稱傳送到小米主機(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php),不過,Google上找不到這個 URL及Domain相關資料,並不知道用途。他認為,一般手機很少會將使用者的應用程式清單全數回傳給手機業者,這是他測試紅米手機最感到不解之處。 接著測試,翁浩正打開安全中心,發現資料回傳到pmir.3g.qq.com伺服器,但因為資料內容加密,無法得知傳送內容為何。開機不久,他也從手機中看到,系統連線至小米位於北京的伺服器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道傳送什麼資料。在系統輸入文字時,會傳送至「友盟 umeng」蒐集使用者資料以及統計數據(https://www.umeng.com/app_logs),但不知道傳送內容為何。 翁浩正測試紅米機時,發現很多連回小米伺服器的封包記錄,但他說,連線內容加密,加上很難確定哪個程式有無惡意或在傳送什麼資料,因此要檢測一個手機是否有惡意程式,需要數個月時間來分析App、系統、底層。就他簡單測試,只能知道紅米手機有「蒐集」的事實。 戴夫寇爾執行長翁浩正測試紅米手機時表示,平常很少見到會回傳應用程式清單,這是他測試時最大的不解。不過,臺灣小米官方則回覆,主要是使用者啟用雲備份,未來供換新手機時,直接下載使用。 小米官方回覆,一切都是正常連線且不涉及個人隱私 臺灣小米官方回覆指出,手機一開機後的連線行為,是為了回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號;而傳送簡訊時,要驗證手機號碼,是為了確認雙方都是小米手機,才能使用網路簡訊;登錄小米雲服務所回傳的資料,則是依照使用者設定,才能同步使用者手機資料。而回傳應用程式清單,臺灣小米官方答覆,主要是使用者開啟小米雲備份功能,會同步使用者下載App,當使用者換新手機時,可以直接由雲備份直接下載即可。 臺灣小米官方表示,未經用戶允許,不會主動上傳涉及使用者隱私的個人資訊和資料,而其他包含個人隱私的個人資料、照片、簡訊等,預設都是關閉相關網路服務,需要使用者主動開啟,也可以隨時關閉。若是網路服務需要連回總公司伺服器驗證,所傳輸的資料都不涉及使用者隱私。 工業局和NCC將成App資安驗證雙主管機關 行政院資通安全辦公室主任蕭秀琴指出,在今年6月「行政院國家資通安全會報第26次委員會議紀錄」的討論案中便決議,未來手機內建的App一律由NCC負責管理,若是一般在各種軟體市集下載的手機App,則由經濟部工業局負責。她說,當職權分工確立後,相關部會就可以針對職掌,各自制定相關的檢測辦法,並鼓勵手機廠商自主檢測。 NCC(國家通訊傳播委員會)科長謝志昌表示,因為目前手機App檢測並沒有法源的強制力,也沒有一個共通的國際標準,等到NCC推出手機內建App自選性檢測項目出爐後,屆時NCC便會鼓勵手機廠商參與自願性檢測,也允許通過檢測的廠商,可以據此宣稱該手機符合政府相關資安檢測,希望能形成一種廠商之間的正面循環,也對消費者有益。 經濟部工業局通訊科承辦人員簡大超則表示,目前相關的手機下載App資安檢測的內容與方式,還在內部進行討論中,等到內部討論有初步共識後,才會進行後續的委外研議。究竟什麼時候有成果,目前還沒有定論。 心得: 當然小米說回傳這些資料是為了更瞭解你的使用習慣,消費者也只能相信他們了,否則回傳資料百百種,如何得知小米到底有沒有拿你什麼資料去做你想不到的事情呢? 不過依照我對大陸軟體公司往年的做法來看(像是....某間3X0公司出的軟件),用對岸的東西,先做好被看光的心理準備,應該會在事後不會那麼憤慨就是了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.114.47.203 ※ 文章網址: http://www.ptt.cc/bbs/MobileComm/M.1407469753.A.783.html
08/08 11:52, , 1F
以下開放李姓物站
08/08 11:52, 1F
08/08 11:52, , 2F
米粉表示...
08/08 11:52, 2F
08/08 11:53, , 3F
中國官方的觸手是無遠佛屆的,別鐵齒
08/08 11:53, 3F
08/08 11:53, , 4F
很想問耶~ 台灣科技廠有限制使用這家的手機嗎?
08/08 11:53, 4F
08/08 11:55, , 5F
蒐集電話號碼跟IMEI很過分嗎?
08/08 11:55, 5F
08/08 11:57, , 6F
蒐集使用者的app清單很過分嗎?
08/08 11:57, 6F
08/08 11:58, , 7F
大陸人都很善良,傳給他們一下下又沒關係
08/08 11:58, 7F
08/08 11:59, , 8F
傳IMEI還可以接受,不過為傳簡訊對像的號碼就太...
08/08 11:59, 8F
08/08 11:59, , 9F
那我用小米3怎麼辦 該換掉嗎 現在正想買G3 好理由?
08/08 11:59, 9F
08/08 12:00, , 10F
目前用小米3,我表示:不以為然
08/08 12:00, 10F
08/08 12:01, , 11F
偷傳還賣這麼好 鍵盤抵制
08/08 12:01, 11F
08/08 12:02, , 12F
蒐集就算了 還用明碼傳送 資安老師常請假
08/08 12:02, 12F
08/08 12:02, , 13F
不懂= = 你覺得沒經過你同意 你可以接受就OK阿
08/08 12:02, 13F
08/08 12:04, , 14F
傳到中國怕得要死 傳到米國非常安全又可靠 XD
08/08 12:04, 14F
08/08 12:05, , 15F
開放炊粉護航
08/08 12:05, 15F
08/08 12:12, , 16F
http://tinyurl.com/lsgow89 有種來賣美國
08/08 12:12, 16F
08/08 12:15, , 17F
鄉民:我的資料只能傳給米國把拔
08/08 12:15, 17F
08/08 12:17, , 18F
沒用過小米灌金山毒霸+360衛士 百度瀏覽器 別說資安
08/08 12:17, 18F
08/08 12:18, , 19F
再護航阿
08/08 12:18, 19F
08/08 12:22, , 20F
拿漏洞和內建木馬比會不會有點好笑
08/08 12:22, 20F
08/08 12:22, , 21F
中國品牌最nice了 這中間一定有什麼誤會
08/08 12:22, 21F
08/08 12:22, , 22F
以下開放炊粉護航
08/08 12:22, 22F
08/08 12:25, , 23F
漏洞都被FTC review成這樣 未經允許偷傳個資也還好嘛
08/08 12:25, 23F
08/08 12:28, , 24F
炊炊出動惹
08/08 12:28, 24F
08/08 12:28, , 25F
還好我都用華為
08/08 12:28, 25F
08/08 12:31, , 26F
小米安裝金山+360+影音app史上最毒的手機誕生了
08/08 12:31, 26F
08/08 12:37, , 27F
小米手機,爲偷你的個資而生。
08/08 12:37, 27F
08/08 12:39, , 28F
驗證正貨是啥...難不成有高仿小米?!
08/08 12:39, 28F
08/08 12:44, , 29F
我記得好像有假的小米
08/08 12:44, 29F
08/08 12:52, , 30F
紅米很多仿的阿,雙核假四核一堆
08/08 12:52, 30F
08/08 12:52, , 31F
沒有傳才是奇怪,要懷疑是假貨lol
08/08 12:52, 31F
08/08 12:53, , 32F
回傳到中國 才能進入到祖國資料保護去阿 讚!
08/08 12:53, 32F
08/08 12:54, , 33F
那為什麼一開始不講清楚呢? 而要等被測出來了才說明
08/08 12:54, 33F
08/08 12:55, , 34F
再護航阿,連回傳都用明碼,有夠明目張膽
08/08 12:55, 34F
08/08 12:57, , 35F
明講還賣得出國外嗎XD
08/08 12:57, 35F
08/08 12:57, , 36F
小米買來第一件事就是把系統刷掉
08/08 12:57, 36F
08/08 12:58, , 37F
炊:矮冬K
08/08 12:58, 37F
08/08 12:58, , 38F
太可怕了, 買台華為壓壓驚~
08/08 12:58, 38F
08/08 12:59, , 39F
無聊
08/08 12:59, 39F
還有 100 則推文
08/08 18:11, , 140F
樓上的論點就像是人都會死,那生病的時候幹嘛看醫生z
08/08 18:11, 140F
08/08 18:11, , 141F
zz
08/08 18:11, 141F
08/08 18:12, , 142F
google跟支那比..哈哈哈
08/08 18:12, 142F
08/08 18:31, , 143F
我看品牌手機好像都會收集資料阿,不過是什麼資料
08/08 18:31, 143F
08/08 18:31, , 144F
我也不知道,研究過許多品牌的隱私政策
08/08 18:31, 144F
08/08 18:32, , 145F
說不定以後在小米手機內建的瀏覽器搜尋64天安門會有
08/08 18:32, 145F
08/08 18:33, , 146F
警察到你家把門踹爆說要查水表呢XD
08/08 18:33, 146F
08/08 18:35, , 147F
米4 LTE 搭配華為的基地台真是絕配阿
08/08 18:35, 147F
08/08 18:43, , 148F
就是中國才要怎麼樣 惡名昭彰的人你還要放進家裡
08/08 18:43, 148F
08/08 18:43, , 149F
出事了活該怪誰
08/08 18:43, 149F
08/08 19:02, , 150F
想想為何郭台銘要COST DOWN 想用華為的設備 卻被平常
08/08 19:02, 150F
08/08 19:03, , 151F
沒什麼建樹的NCC擋下來就知道了 他可沒擋種花用NOKIA
08/08 19:03, 151F
08/08 19:10, , 152F
↑硬要說的話 也可以說因為台灣是美國的狗腿子啊
08/08 19:10, 152F
08/08 19:21, , 153F
嗯~前幾天想說要輸入信用卡號碼買App,結果卓卓系統
08/08 19:21, 153F
08/08 19:21, , 154F
實在讓我無法全部放心
08/08 19:21, 154F
08/08 19:21, , 155F
最後還是打消念頭
08/08 19:21, 155F
08/08 20:03, , 156F
米粉表示過了風頭繼續護航
08/08 20:03, 156F
08/08 20:53, , 157F
炊粉表示:讓我們手機歸手機,政治歸政治!
08/08 20:53, 157F
08/08 20:53, , 158F
那刷小米的應該也中了
08/08 20:53, 158F
08/08 20:58, , 159F
原來NOKIA是美國的品牌 炊粉的神邏輯
08/08 20:58, 159F
08/08 21:03, , 160F
炊粉表示:台灣也是芬蘭的走狗
08/08 21:03, 160F
08/08 21:07, , 161F
還好沒買過....
08/08 21:07, 161F
08/08 21:17, , 162F
吹粉表示:個資奉獻給祖國阿陸仔是種榮耀!
08/08 21:17, 162F
08/08 23:25, , 163F
小米第一次開機時會問是否加入使用者體驗計畫 不知
08/08 23:25, 163F
08/08 23:25, , 164F
有無關閉?如果沒開就連朋友的電話號碼都傳也太誇張
08/08 23:25, 164F
08/08 23:25, , 165F
08/08 23:25, 165F
08/08 23:40, , 166F
想也知道沒開也會傳,就算有開,小米何必需要所有
08/08 23:40, 166F
08/08 23:40, , 167F
人的手機號碼?
08/08 23:40, 167F
08/09 00:30, , 168F
就對岸眾多廠商有過太多黑記錄
08/09 00:30, 168F
08/09 00:30, , 169F
小米又有這種行為 會去小心 去懷疑他也是很剛好而已
08/09 00:30, 169F
08/09 00:31, , 170F
而且看過往歷史 對岸廠商並不一定會在開頭就搞鬼
08/09 00:31, 170F
08/09 00:32, , 171F
告誡自己不要用對岸產品與軟體只是基本的資安防護
08/09 00:32, 171F
08/09 19:20, , 172F
沒有傳是假貨 +1
08/09 19:20, 172F
08/10 01:01, , 173F
驗證手機是山寨的話呢?又能如何?
08/10 01:01, 173F
08/10 14:26, , 174F
米國有拿上千飛彈對著我們嗎 某樓護航能力實在薄
08/10 14:26, 174F
08/10 14:26, , 175F
08/10 14:26, 175F
08/11 16:58, , 176F
敵對國蒐集情資,搞不好還可以遠端取得控制權.
08/11 16:58, 176F
08/11 17:00, , 177F
國民競相出賣自己的國家,歷史少見.
08/11 17:00, 177F
08/12 07:58, , 178F
好多中壢人,怎麼還沒升格
08/12 07:58, 178F
10/05 08:59, , 179F
itools表示 https://daxiv.com
10/05 08:59, 179F
更多 Rigaudon 的文章
文章代碼(AID): #1Jv4YvU3 (MobileComm)