8月8日消息,台湾iThome网站(www.ithome.com.tw)日前发布了一篇名为《小米手机偷传资料到北京?iThome找资安专家实测:有》的文章,该文章称,就此前红米回传用户信息至北京的消息,信息安全公司芬安全(F-Secure)马来西亚亚洲实验室对红米手机进行了实测,实测的结果是“确实发现红米手机有资料回传小米北京总公司伺服器,不论是全新的红米手机,或者是使用一阵子的红米手机,都有类似现象”。
以下为台湾iThome网站原文摘要:
iThome找来资安专家实机测试日前传出资料回传中国风波的红米手机。检测过程中,确实发现红米手机有资料回传小米北京总公司伺服器,不论是全新的红米手机,或者是使用一阵子的红米手机,都有类似现象。
芬安全实测全新红米机,刚开机连网就回传手机序号和手机号码
iThome联系资安公司芬安全(F-Secure)马来西亚亚洲实验室,实测两款全新红米机与小米机,从7月31日~8月6日以将近一周的时间,每个环节都经过资安实验室人员2~3次的反覆测试,得出以下的结果。
芬安全亚洲区资安顾问吴树谦表示,中低价位的中国品牌智慧型手机小米手机,近期在马来西亚也非常热门,以每周只在网路上销售1万支的饥饿行销手法,不仅带动高知名度,也成为马来西亚热门手机品牌。
芬安全实际采购2款小米机第三代以及红米机1s(RedMi1S)进行实测,主要是希望厘清,许多媒体报导小米公司手机搜集过多资讯并回传小米北京总公司的说法,是否为真。
首先,芬安全为了确保测试结果没有受到其他环境的干扰,便在马来西亚当地采购小米机与红米机各一支,进行开箱后的实测。他说,刚开始,为了确保手机「干净」,并未安装或连接小米云服务,只有开机并且插入电信公司的SIM卡后,之后就连接到芬安全实验室的无线AP。
吴树谦指出,在手机插入SIM卡、连上Wi-Fi并启动时,芬安全实验室发现,实测的红米手机1s会连上小米手机某台伺服器(api.account.xiaomi.com),并且回传手机序号IMEI码和插入SIM卡的手机号码到该伺服器。
之后,芬安全亚洲实验室允许红米手机使用GPS定位服务,并添加一个新的联系人到电话簿,然后进行发送和接收简讯以及多媒体简讯测试,也测试打电话与接听电话。
吴树谦表示,在测试时发现,在新增手机通讯录联络人并发送简讯后,测试的红米手机会把接收简讯者的手机号码,同样转发到该伺服器中。
接下来,芬安全亚洲区实验室启用并登录小米云服务,然后重复同样的测试步骤。此时,则发现,受测红米手机的国际行动用户辨识码(IMSI)资讯,及手机序号IMEI号码和电话号码,都传送到api.account.xiaomi.com伺服器。
测试红米手机的过程中,吴树谦指出,芬安全并不判断怎么样的资料回传是对的,只就测试结果厘清一些人的疑虑。他说,全新红米手机刚啟用并连上Wi-Fi时,红米手机就已经会自动将手机的SIM卡电话号码以及手机序号IMEI码的资料回传小米手机的北京伺服器,而且过程中都以明码传送。
而测试收发简讯时,芬安全也发现,小米手机会把接收简讯者的电话号码回传小米手机北京伺服器。
最后测试启动小米云服务时,红米手机会连回小米手机北京伺服器,并回传国际行动用户辨识码(IMSI)、手机序号(IMEI号码)和电话号码,也都会传送到api.account.xiaomi.com伺服器。
戴夫寇尔资安研究员岑志豪表示,一般手机在未登录授权启用时,通常不会回传手机序号或手机号码;同样的,也少见会回传接收简讯者的手机号码。
芬安全亚洲实验室测试结果,红米手机在开机连网后,发现会连上api.account.xiaomi.com伺服器,回传手机序号(IMEI)码(上图)及手机号码(下图)给该小米伺服器。台湾小米官方则回复,开机后是为了验证手机是否为真品,且确认双方皆为小米机,才能使用网路简讯功能。
戴夫寇尔侧录红米机,回传应用程式清单
资安公司戴夫寇尔执行长翁浩正测试一支已经正常使用多时的红米机,其中只安装少数基本App,进行封包侧录。他表示,一开机,红米机就会把所有作业系统安装的程式名称传送到小米主机(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php),不过,Google上找不到这个 URL及Domain相关资料,并不知道用途。他认为,一般手机狠少会将使用者的应用程式清单全数回传给手机业者,这是他测试红米手机最感到不解之处。
接著测试,翁浩正打开安全中心,发现资料回传到pmir.3g.qq.com伺服器,但因为资料内容加密,无法得知传送内容为何。开机不久,他也从手机中看到,系统连线至小米位于北京的伺服器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道传送什么资料。在系统输入文字时,会传送至「友盟 umeng」搜集使用者资料以及统计数据(https://www.umeng.com/app_logs),但不知道传送内容为何。
翁浩正测试红米机时,发现很多连回小米伺服器的封包记录,但他说,连线内容加密,加上狠难确定哪个程式有无恶意或在传送什么资料,因此要检测一个手机是否有恶意程式,需要数个月时间来分析App、系统、底层。就他简单测试,只能知道红米手机有「搜集」的事实。
戴夫寇尔执行长翁浩正测试红米手机时表示,平常很少见到会回传应用程式清单,这是他测试时最大的不解。不过,台湾小米官方则回复,主要是使用者启用云备份,未来换新手机时,直接下载使用。
小米官方回复,一切都是正常连线且不涉及个人隐私
台湾小米官方回复指出,手机一开机后的连线行为,是为了回传IMEI确认是否为正货,并确认该号码是否申请过小米帐号;而传送简讯时,要验证手机号码,是为了确认双方都是小米手机,才能使用网路简讯;登录小米云服务所回传的资料,则是依照使用者设定,才能同步使用者手机资料。而回传应用程式清单,台湾小米官方答覆,主要是使用者开启小米云备份功能,会同步使用者下载App,当使用者换新手机时,可以直接由云备份直接下载即可。
台湾小米官方表示,未经用户允许,不会主动上传涉及使用者隐私的个人资讯和资料,而其他包含个人隐私的个人资料、照片、简讯等,预设都是关闭相关网路服务,需要使用者主动开启,也可以随时关闭。若是网路服务需要连回总公司伺服器验证,所传输的资料都不涉及使用者隐私。