在8月8日iThome找來資安專家實測,踢爆小米手機偷傳資料到北京伺服器後,引起不少臺灣民眾對小米手機的批評聲浪。小米公司第一時間仍信誓旦旦否認此事,辯稱小米手機內建所有服務都會取得使用者同意後才蒐集資料。直到踢爆事件2天後,也就是8月10日,小米發表聲明,推翻了自己兩天前的說法,坦言確實有一項服務「網路簡訊」會「自動啟動」回傳手機號碼到北京。

小米科技8月10日在官方粉絲團上發布緊急聲明,證實的確有一個內建於小米手機作業系統內的「網路簡訊」服務,在未經使用者同意的情況下,就會自動啟動,將使用者的電話號碼、IMSI(國際行動用戶識別碼)及 IMEI碼(國際行動裝置識別碼),回傳到小米伺服器上。另外,小米也證實了透過這個網路簡訊服務回傳北京的使用者電話號碼沒有加密,而是採用明碼傳遞。

因採明碼發送,一般具備相當電腦能力的網管人員,利用網路監聽工具可以在同一個網路環境中側錄到這隻手機所發送的網路封包來取得真實電號碼,不需要經過破解。換句話說,過去用小米手機的民眾,你的電話號碼已經暴露在你所身處的網際網路上,例如你在咖啡廳用小米手機上網,若有人用網路監聽工具側錄這個Wi-Fi的網路封包,就能偷到你的電話號碼。或是在任何公共場所:機場,學校,辦公室的網路環境都一樣有被竊取手機號碼的機會。

小米科技也在聲明稿中向用戶道歉,並如同先前還沒被資安公司發現偷傳資料前的說法,再次聲明所有服務「未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料。」但並未解釋為何仍會被發現了有這個自動啟動的「網路簡訊」服務。

不過,小米科技也未有任何說明來解釋資安專家發現的其他可疑資料傳輸行為,也有不少臉友紛紛在小米臉書專頁這篇聲明稿下方留言,質疑小米沒有交代為何要將使用者手機上所有應用程式的清單回傳。

資安專家實測小米手機後,發現了哪些爭議性資料偷傳行為,請看
http://www.ithome.com.tw/news/89991

 

不只小米手機,其他中國品牌也有資安爭議,請看我們封面故事

穿糖衣的威脅 

小心,越夯就越看不見的資安隱憂

中國App惡質競爭延燒海外 老總坦言無法保證捍衛用戶資料

學者警告:中國政府能強索陸商客戶資料 臺灣政府有責揭露黑心App

養豬拔羊毛策略 先以免費搶市占再謀利

中國黑心軟體攻臺,政府怎能放任

 

以下是小米科技在臉書上的聲明全文:

關於“網路簡訊”的緊急聲明

小米是一家行動互聯網公司,致力於提供高品質的手機和優質的互聯網服務,同時非常重視保護用戶隱私。小米提供的所有互聯網服務均符合小米公司隱私條款:未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料。

基於近日台灣的媒體報導,部分用戶對“網路簡訊”自動啟動後的個人隱私資料傳送的擔憂,小米公司非常重視,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由“設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。

小米公司對給用戶造成困擾表示誠摯歉意,也感謝廣大媒體、用戶第一時間給我們反饋問題和修正機會,給小米更快進步空間,為用戶持續提供更優質更安全的互聯網服務。

 

小米公司

2014年8月10日

 

附“網路簡訊”服務原理詳解:

Q:小米的 “網路簡訊”服務是什麼?

A:“網路簡訊”是 MIUI 的系統功能之一,傳統簡訊是通過電信公司簡訊閘道系統(SMS Gateway)發送簡訊。而MIUI的“網路簡訊”是通過IP傳輸協議,為用戶提供免費的簡訊傳遞服務。

Q:“網路簡訊”如何運作?會儲存用戶個人資料嗎?

A:小米手機在開機後,會通過小米伺服器和 IP 通訊協定,自動啟動“網路簡訊”服務,提供用戶免費發送簡訊的服務。MIUI“網路簡訊” 使用手機唯一識別碼(包括電話號碼、IMSI 及 IMEI)對應後提供兩設備間的資料傳輸,其原理和其他即時通訊應用軟體相仿。而用戶的個人隱私資訊,包括電話號碼和通訊錄等資訊,都不會儲存在 “網路簡訊”小米伺服器上。經加密處理的傳輸資訊內容,也不會被保留於小米伺服器上。

Q:以上所說和近日引發疑慮的用戶隱私問題有什麼關係?小米如何應對?

A:近日台灣媒體引用資安公司芬安全(F-Secure)的測試報告,指出小米手機將電話號碼回傳至小米伺服器,此報告指的即是“網路簡訊”服務。

小米公司非常重視保護用戶隱私,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由 “設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。

Q:“網路簡訊” 服務究竟如何處理用戶的電話號碼?

A: “網路簡訊” 服務主要使用電話號碼,作為用戶間傳送資訊的識別碼,同時也會使用 IMEI 及 IMSI來檢測手機的線上狀態。

當用戶發送簡訊時,如手機正處於連網狀態 “網路簡訊”就會以 IP 發送該條簡訊;如收信者非在線(意味著無法立即通過 IP 連接),系統則會以一般簡訊送出,而不會選擇通過 IP 發送。當用戶編輯一條簡訊或查看一個聯絡人資訊時,手機會通過“網路簡訊”伺服器以檢測該聯絡人的線上狀態,如聯絡人在線,會以藍色圖示表示;如非在線狀態或該用戶並未使用“網路簡訊”,則會出現灰色圖示。此舉是為了讓用戶能夠瞭解,該簡訊是付費還是免費發送。

在上述過程中,收信者的電話號碼,僅是用來辨認該使用者的線上狀態,以便判斷發送簡訊的方式(通過 IP 免費發送或電信公司簡訊系統付費發送)。任何用戶的電話號碼和通訊錄等個人資料,都不會儲存在網路簡訊伺服器中。

今天(8月10日)發佈的 OTA 升級包,同時增加了把用於實現“網路簡訊”識別用戶的電話號碼加密的功能,為用戶增加一道額外的安全防護。

未來,我們會持續完善“網路簡訊”功能,為用戶提供更優質更安全的服務。

 

相關報導請參考「穿糖衣的威脅! 中國科技產品鋪天蓋地進臺灣」


Advertisement

更多 iThome相關內容