此前小米/红米手机自动上传用户资料到北京服务器一事闹得沸沸扬扬,甚至已经被台湾和新加坡的有关部门请去“喝茶”。虽然小米方面已经作出回应并且放出了相关的 OTA 补丁,不过有网友发现还是有后台服务自动连到北京。
于是,之前验证小米自动回传资料的安全厂商F-Secure 这次再度对打了补丁的小米手机进行测试。
相关 OTA 更新
首先讲讲这个补丁的内容。一方面是关闭网络免费短信服务的自动启动并上传资料功能,用户可自行开启;另一方面是对上传资料进行加密处理,此前这些资料都是通过明文发送的。
默认已经是关闭状态了
F-Secure 在手上的小米手机上安装了这个 OTA 补丁,并恢复出厂设置,确认原来的免费短信功能默认为关闭状态,然后根据之前的方法再次进行测试,过程是新增联系人、发出并接收一条短信、拨出及接听电话。
此后继续开启免费短信并重复以上过程进行测试。
测试结果截图
从结果来看,一方面在免费短信默认关闭状态下,小米手机确实是没有任何资料被回传出去了,另一方面也确认在开启状态下回传的资料也是经过 base64 编码后再通过 https 安全通道传送。
不过台湾媒体T客帮在他们今天的报道中写到,F-Secure 有关负责人认为,虽然小米表态认错了,但是还没有说明这些资料的目的和原因(其实小米说过是用于识别通讯双方是否有使用免费短信的资格),而且这些云端上的资料如果没有被妥善保管也是很危险的。
相关文章