小米香港Facebook發文截圖(圖片來自臺灣iThome)
小米香港Facebook發文截圖(圖片來自臺灣iThome)
【TechWeb報道】8月11日消息,據臺灣iThome網站報道,針對此前信息安全公司芬安全(F-Secure)馬來西亞亞洲實驗室實測紅米手機證實存在偷傳資料至北京服務器一事,小米公司先是矢口否認此事,后又承認“有一項‘網絡簡訊’功能會‘自動啟動’回傳手機號碼到北京”,并表示已經通過發布OTA升級包阻止網絡簡訊功能自動啟動。
以下為臺灣iThome網站原文摘要:
在8月8日iThome找來資安專家實測,踢爆小米手機偷傳資料到北京伺服器后,引起不少臺灣民眾對小米手機的批評聲浪。小米公司第一時間仍信誓旦旦否認此事,辯稱小米手機內建所有服務都會取得使用者同意后才搜集資料。直到踢爆事件2天后,也就是8月10日,小米發表聲明,推翻了自己兩天前的說法,坦言確實有一項服務“網路簡訊”會“自動啟動”回傳手機號碼到北京。
小米科技8月10日在官方粉絲團上發布緊急聲明,證實的確有一個內建于小米手機作業系統內的“網路簡訊”服務,在未經使用者同意的情況下,就會自動啟動,將使用者的電話號碼、IMSI(國際行動用戶識別碼)及 IMEI碼(國際行動裝置識別碼),回傳到小米伺服器上。另外,小米也證實了透過這個網路簡訊服務回傳北京的使用者電話號碼沒有加密,而是采用明碼傳遞。
因采用碼發送,一般具備相當電腦能力的網管人員,利用網路監聽工具可以在同一個網路環境中側錄到這只手機所發送的網路封包來取得真實電號碼,不需要經過破解。換句話說,過去用小米手機的民眾,你的電話號碼已經暴露在你所身處的網際網路上,例如你在咖啡廳用小米手機上網,若有人用網路監聽工具側錄這個Wi-Fi的網路封包,就能偷到你的電話號碼。或是在任何公共場所:機場,學校,辦公室的網路環境都一樣有被竊取手機號碼的機會。
小米科技也在聲明稿中向用戶道歉,并如同先前還沒被資安公司發現偷傳資料前的說法,再次聲明所有服務“未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料”。但并未解釋為何仍會被發現了有這個自動啟動的“網路簡訊”服務。
不過,小米科技也未有任何說明來解釋資安專家發現的其他可疑資料傳輸行為,也有不少臉友紛紛在小米臉書專頁這篇聲明稿下方留言,質疑小米沒有交代為何要將使用者手機上所有應用程式的清單回傳。
