NCC檢露自小米Mi 10T 5G追蹤伺服器找到的敏感詞彙黑名單檔案,內含2千多筆詞彙。

圖片來源: 

NCC

NCC今天(1/6)發稿指出,在臺灣販售的小米Mi 10T 5G手機,經檢測發現手機內建應用軟體會對敏感政治詞彙進行比對,甚至可能進一步回傳資訊,提醒民眾重視手機的個人隱私保護意識。

去年9月立陶宛政府發表調查報告,在華為Huawei P40 5G與小米的Xiaomi Mi 10T 5G發現含有安全風險,其中在小米手機上發現的風險之一是,在手機內建的小米瀏覽器,使用蒐集用戶活動資料的Chinese Sensor Data,最多可蒐集61種資料,且傳送資訊至該國認為未提供妥善個資保護的第三地,因此視為安全風險。此外,也在該款手機內發現內容檢查機制,自動封鎖被列為黑名單的關鍵字,例如「自由西藏」、「民主臺灣萬歲」等等。

NCC在獲知這項消息後,去年10月主動委託電信技術中心(TTC)檢測在臺灣銷售的同款手機,在該手機內建的7款App,包括個性主題、音樂、套裝軟體安裝程式、 手機管家、垃圾清理、下載管理、小米視頻,發現會從globalapi.ad.xiaomi.com伺服器,下載敏感政治關鍵字,內含「自由中國」、「臺灣人權促進會」、「新疆」、「自由西藏」、「臺灣獨立」、「蔡英文」、「李登輝」、「近平」、「六四事件」、「中國國民黨」、「民進黨」等進行比對的檔案(MiAdBlacklistConfig,如上圖所示),該比對檔案涵蓋政治團體、宗教團體、政府、社會運動、政治人物的簡繁體中文與英文詞彙,總計2千多筆。NCC認為具有阻絕連網或回傳瀏覽行為的疑慮。

NCC表示,該款手機並未提供消費者關閉此一功能的選項,雖然目前詞彙過濾檔案也已被清空,但製造商仍能隨時由遠端更新檢查或過濾功能,恐有曝露使用者隱私的風險,加之中國政府法規規定有配合國家情報的義務,敏感詞彙的檢查或過濾功能恐造成使用者個資、隱私曝露的隱憂,因此公布檢測結果,提醒民眾使用手機的風險。

而在立陶宛發布中國手機調查報告後,NCC曾向臺灣小米關切此事,得到的回應是,臺灣販售的10T 5G手機與歐洲銷售的國際版不同,臺灣版的手機不會審查用戶通訊內容,或是限制用戶搜尋、打電話、瀏覽等手機行為,臺灣小米公司否認審查用戶通訊內容的行為。經此次檢查,NCC表示,未來將會持續檢測臺灣小米是否損害消費者權益,若有損害消費者權益時,報請相關主管機關依法處理。

NCC也提醒,手機製造商或App業者基於對時調校、版本更新確認、大數據分析等,普遍有回傳資料的情形,但依個資法規定,裝置應提供使用者停用資料蒐集回傳功能,至於下載使用App時,也可注意是否提供關閉資料蒐集的功能。

對此,臺灣小米稍晚也回應,NCC所指的MiAdBlacklistConfig為小米針對廣告商對App推送的付費廣告內容的管理措施,避免使用者受影響,如色情、暴力、仇恨言論,以及冒犯當地使用者的資訊。小米強調此一做法在手機或社群媒體的廣告規範上為常見做法,該公司也重申從沒有,將來也不會限制,回傳或阻隔手機用戶的行為,如搜尋、打電話、使用即時通訊軟體或瀏覽網頁。

事實上,這並非小米手機首次有安全風險,iThome曾委託資安專家檢測小米手機,不論是全新手機或使用中的手機,發現未經用戶同意下,擅自傳送資料回到中國的情形。而在2020年,安全研究人員檢測小米手機後發現,追蹤蒐集用戶瀏覽行為,即使用戶開啟無痕模式,仍會追蹤用戶行為,並回傳資料至第三地。


熱門新聞

Advertisement