今年,小米科技頻頻以潮牌形象搶攻臺灣市場,迅速擄獲了不少「米粉」的青睞,不只是小米手機,還有各種3C產品,如小米盒子、小米路由器、Wi-Fi隨身碟等,以便宜超低價格搭配精心設計的外觀,頻頻在臺灣引起不少關注,連我先前都設法想搶購幾支小米Wi-Fi隨身碟來玩玩。但是,近日這場資料外洩風波,小米接連違背了先前對使用者的保證,而且不只一次,徹底地讓我打消了使用小米產品的念頭。原因無他,因為便宜不能買到我的信任。

從8月8日我們找來資安專家實測小米手機,發現了全新剛拆封的紅米手機,裝上Sim卡開機連上網路,還沒進入手機系統初始安裝的設定之前,也沒點選任何同意蒐集資料的動作,資安專家就發現,這支手機就會自動將內建Sim卡的手機號碼傳回北京的伺服器。

我們第一時間向小米科技查證,得到的回應是絕無此事,小米表示,所有蒐集用戶資料的服務,都是在用戶同意之後才會開啟,而且可以關閉。這句話言猶在耳,不到兩天,小米就在臉書上發布聲明坦言,有一個網路簡訊服務會「自動啟動」來蒐集用戶電話號碼。甚至連小米副總裁HugoBarra(也就是前Google Android副總裁)也公開澄清這個簡訊服務,並擔保沒有經過用戶同意不會上傳個資或任何資料,他也為隱私事件的風波道歉。

小米在聲明中表示,找來工程師連夜趕工推出了一個手機系統升級包,讓用戶可以關閉這個會自動啟動的服務,並且還貼心地說強化了資料傳輸安全,將電話號碼從明碼傳輸改為加密傳輸。

這不正是自打嘴巴嗎?信誓旦旦地說所有服務都是經過用戶同意才啟用,怎麼會出現了一個未經用戶同意的「自動啟用」服務。而且還犯了一般具備資安常識的軟體開發者都不會犯的錯誤,在網路上用未加密的方式來傳輸使用者資料。

在這個漏洞修補之前,使用小米手機的民眾,只要使用了公共場所如咖啡館、機場的Wi-Fi網路,有心竊取資料的駭客,利用簡單的網路封包監聽工具就能攔截在同一個網路環境內的網路封包,連破解程序都不用,就可以竊取到這些民眾的電話號碼。

小米手機連這個軟體開發的基本資料保護措施都無法落實,怎麼能讓人信賴這個團隊所開發出來的軟體資安品質?

不只如此,我們同樣委請先前測試小米手機的資安專家,再次檢測了小米手機安裝了OTA升級包之後的結果。再次發現了驚人卻又不令人意外的結果。小米科技這次修補了先前其中一組資安專家F-Secure所發現的問題,也就是小米所謂「網路簡訊」服務問題,包括在開機時暗中回傳手機號碼,以及明碼傳輸的問題,正如他們聲明稿所言地修正了,但是,故事還沒有結束。

另一組資安專家戴夫寇爾,實測一隻使用一段時候的紅米手機結果發現,更新了最新的OTA升級包之後,就算小米手機沒有啟動雲端服務,也會自動上傳手機內建應用程式清單到小米伺服器的行為,這個行為在升級之前就出現了,升級後也仍然存在。

這些實測結果,再一次戳破了小米的聲明,至少有一項服務,關閉後重開機卻還是繼續有回傳資料的動作,而不是小米保證的使用者隨時可以關閉。

再次查證小米科技,小米公關同樣沒有正面回應我們對上述實測結果的質問,彷彿是不斷循環播放的錄音一樣,重新講了一次保證,並說明回傳資行為不涉及用戶個資,包括了公眾日曆更新、MIUI系統提醒、軟件更新、系統短訊智能辨認、天氣等。但這些保證,已無法得到我的任何信任。

 

延伸文章

iThome第一次小米手機實測:哪些資料被偷傳?

小米招了,坦言偷傳資料到北京,公開道歉並緊急更新手機系統

小米手機升級包解決資安疑慮了嗎?iThome再測結果出爐

 

封面故事

不只小米手機,其他中國品牌也有資安爭議,請看我們封面故事

穿糖衣的威脅 

小心,越夯就越看不見的資安隱憂

中國App惡質競爭延燒海外 老總坦言無法保證捍衛用戶資料

學者警告:中國政府能強索陸商客戶資料 臺灣政府有責揭露黑心App

養豬拔羊毛策略 先以免費搶市占再謀利

中國黑心軟體攻臺,政府怎能放任

 

作者簡介


Advertisement

更多 iThome相關內容