› 選擇地區
三藩市
紐約
洛杉磯
其他美國地區
香港 台灣 北美
 
2014年09月08日

更新軟件後 變每半小時「過料」
紅米傳資訊到星洲 專家指極不尋常

【本報訊】國產手機小米上月被揭發擅自上傳用戶資料到北京伺服器,小米為此道歉及推出供用戶下載的「更新包」補鑊,聲稱已堵塞漏洞。不過,《蘋果》委託資訊保安專家楊和生及資訊安全公司Nexusguard進行測試,發現更新後的紅米1S,即使在靜止狀態,每隔半小時便會自動上傳手機資料到新加坡一個租用的伺服器。小米回應稱,與伺服器連線只為客戶更新日曆、天氣等系統,不涉私隱。業界與專家直指情況不尋常,有洩漏客戶私隱之嫌。
記者:梁御和

上月有電腦保安公司發現,小米3及紅米1S兩款手機會將用家的手機序號及電話號碼,傳送到小米位於北京的伺服器;而以手機發送短訊時,更會連接收短訊者的電話也傳到同一伺服器。
事後小米發聲明道歉,並向用戶提供OTA更新包,指已解決有關問題,聲稱安裝後便可「安心使用」。該更新包適用於所有小米手機。
本報委託互聯網協會網絡保安及私隱小組召集人楊和生,為香港版紅米1S手機進行為期13天的監察測試;供測試的紅米是全新機,開封後立即連接由楊設立的WiFi網絡,以便監察手機有否向互聯網發放資料。

相關新聞:資料傳北京 Apps疑被做手腳

檔案大或含文字資料

監察期間,手機一直維持閒置狀態,只會偶爾進行拍照或新增通訊錄等不涉及上網等動作,也沒有登記及開啟任何雲端或互聯網服務。
結果發現,紅米手機在未安裝更新包前,每日早上會自動將手機資料上傳到北京伺服器。根據IP,伺服器登記者為「北京藍訊通信技術有限責任公司」,該公司主要從事中國互聯網傳輸工作,為不少政府部門及國企提供服務;今年5月更與官媒人民網在北京合作設立數據中心。

至於被紅米上傳的手機資料,全數被加密,楊和生暫未能破解。但由於上傳的檔案大小由893B至30KB不等,楊認為不尋常,「普通嘅系統資料唔會咁大」,以此估計,被傳送的有可能包括通訊錄在內等文字資料。
其後楊再為紅米安裝聲稱已堵塞漏洞的OTA更新包,發現手機已沒有再將資料傳到北京,但就改為每隔半小時自動將手機資料上傳到位於新加坡的Amazon伺服器。同樣,上傳的資料也被加密,檔案大小由143B至4KB不等,較更新前細,「似係拆細咗續次send,不過上傳嘅時間好密,一樣好唔尋常」。

相關新聞:銷售「大數據」 好賺過淨賣手機

至於該Amazon伺服器,屬公開的雲端伺服器,可供任何人士租用,除了可作一般資料貯存外,租戶也可以加裝運算程式。業內人士指出,該伺服器方便隱藏身份,近年吸引不少網絡黑客租用。
最後記者委託資訊安全公司Nexusguard Consulting,將紅米手機的原廠作業系統(Rom)全數刪除,重新安裝由中國第三方人士設計的作業系統,再以同一方法監察手機活動,結果發現紅米手機已沒有上傳資料到北京藍訊或Amazon,改為每日一次將資料上傳到設計者的伺服器。換言之,之前傳送用戶資料到小米的伺服器,是小米在手機所安裝的系統造成。

稱更新日曆天氣非私隱

小米科技回應稱,安裝更新包後,已經不會再傳輸用戶的個人資料到小米伺服器;至於手機與小米伺服器的連線,內容包括日曆、天氣、軟件更新及系統提醒等互聯網服務,並不涉及用戶私隱。
不過,香港資訊科技商會榮譽會長方保僑認為,紅米手機的上傳動作「不正常」。他指一般手機有可能會上傳系統資料到伺服器,「但係頻率唔會咁密,而且好耐先會做一次」。方保僑又稱,一般新機如未有申請或開啟服務,卻出現大量自動上傳動作,「令人懷疑係access緊某啲私隱」,促小米應盡快澄清事件。

蘋果日報fb,每日分享精選新聞及網絡新鮮事。
返回最頂
壹傳媒: 香港 台灣 | 私隱聲明 服務條款 刊登廣告 聯絡我們 招聘
© 2019 AD Internet Limited. All rights reserved. 版權所有 不得轉載