小米
8 月 8 日消息,台湾 iThome 网站(www.ithome.com.tw)日前发布了一篇名为《小米手机偷传资料到北京?iThome 找资安专家实测:有》的文章,该文章称,就此前红米回传用户信息至北京的消息,信息安全公司芬安全(F-Secure)马来西亚亚洲实验室对红米手机进行了实测,实测的结果是“确实发现红米手机有资料回传小米北京总公司伺服器,不论是全新的红米手机,或者是使用一阵子的红米手机,都有类似现象”。
以下为台湾 iThome 网站原文摘要:
iThome 找来资安专家实机测试日前传出资料回传中国风波的红米手机。检测过程中,确实发现红米手机有资料回传小米北京总公司伺服器,不论是全新的红米手机,或者是使用一阵子的红米手机,都有类似现象。
芬安全实测全新红米机,刚开机连网就回传手机序号和手机号码
iThome 联系资安公司芬安全(F-Secure)马来西亚亚洲实验室,实测两款全新红米机与小米机,从 7 月 31 日~8 月 6 日以将近一周的时间,每个环节都经过资安实验室人员2~3 次的反覆测试,得出以下的结果。
芬安全亚洲区资安顾问吴树谦表示,中低价位的中国品牌智慧型手机小米手机,近期在马来西亚也非常热门,以每周只在网路上销售 1 万支的饥饿行销手法,不仅带动高知名度,也成为马来西亚热门手机品牌。
芬安全实际采购 2 款小米机第三代以及红米机 1s(RedMi1S)进行实测,主要是希望厘清,许多媒体报导小米公司手机搜集过多资讯并回传小米北京总公司的说法,是否为真。
首先,芬安全为了确保测试结果没有受到其他环境的干扰,便在马来西亚当地采购小米机与红米机各一支,进行开箱后的实测。他说,刚开始,为了确保手机「干净」,并未安装或连接小米云服务,只有开机并且插入电信公司的 SIM 卡后,之后就连接到芬安全实验室的无线 AP。
吴树谦指出,在手机插入 SIM 卡、连上 Wi-Fi 并启动时,芬安全实验室发现,实测的红米手机 1s 会连上小米手机某台伺服器(api.account.xiaomi.com),并且回传手机序号 IMEI 码和插入 SIM 卡的手机号码到该伺服器。
之后,芬安全亚洲实验室允许红米手机使用 GPS 定位服务,并添加一个新的联系人到电话簿,然后进行发送和接收简讯以及多媒体简讯测试,也测试打电话与接听电话。
吴树谦表示,在测试时发现,在新增手机通讯录联络人并发送简讯后,测试的红米手机会把接收简讯者的手机号码,同样转发到该伺服器中。
接下来,芬安全亚洲区实验室启用并登录小米云服务,然后重复同样的测试步骤。此时,则发现,受测红米手机的国际行动用户辨识码(IMSI)资讯,及手机序号 IMEI 号码和电话号码,都传送到 api.account.xiaomi.com 伺服器。
测试红米手机的过程中,吴树谦指出,芬安全并不判断怎么样的资料回传是对的,只就测试结果厘清一些人的疑虑。他说,全新红米手机刚啟用并连上 Wi-Fi 时,红米手机就已经会自动将手机的 SIM 卡电话号码以及手机序号 IMEI 码的资料回传小米手机的北京伺服器,而且过程中都以明码传送。
而测试收发简讯时,芬安全也发现,小米手机会把接收简讯者的电话号码回传小米手机北京伺服器。
最后测试启动小米云服务时,红米手机会连回小米手机北京伺服器,并回传国际行动用户辨识码(IMSI)、手机序号(IMEI 号码)和电话号码,也都会传送到 api.account.xiaomi.com 伺服器。