2014年9月8日 星期一

更新軟件後 變每半小時「過料」 紅米傳資訊到星洲 專家指極不尋常

蘋果日報

【本報訊】國產手機小米上月被揭發擅自上傳用戶資料到北京伺服器,小米為此道歉及推出供用戶下載的「更新包」補鑊,聲稱已堵塞漏洞。不過,《蘋果》委託資 訊保安專家楊和生及資訊安全公司Nexusguard進行測試,發現更新後的紅米1S,即使在靜止狀態,每隔半小時便會自動上傳手機資料到新加坡一個租用 的伺服器。小米回應稱,與伺服器連線只為客戶更新日曆、天氣等系統,不涉私隱。業界與專家直指情況不尋常,有洩漏客戶私隱之嫌。
記者:梁御和

上月有電腦保安公司發現,小米3及紅米1S兩款手機會將用家的手機序號及電話號碼,傳送到小米位於北京的伺服器;而以手機發送短訊時,更會連接收短訊者的電話也傳到同一伺服器。
事後小米發聲明道歉,並向用戶提供OTA更新包,指已解決有關問題,聲稱安裝後便可「安心使用」。該更新包適用於所有小米手機。
本報委託互聯網協會網絡保安及私隱小組召集人楊和生,為香港版紅米1S手機進行為期13天的監察測試;供測試的紅米是全新機,開封後立即連接由楊設立的WiFi網絡,以便監察手機有否向互聯網發放資料。

檔案大或含文字資料

監察期間,手機一直維持閒置狀態,只會偶爾進行拍照或新增通訊錄等不涉及上網等動作,也沒有登記及開啟任何雲端或互聯網服務。
結果發現,紅米手機在未安裝更新包前,每日早上會自動將手機資料上傳到北京伺服器。根據IP,伺服器登記者為「北京藍訊通信技術有限責任公司」,該公司主要從事中國互聯網傳輸工作,為不少政府部門及國企提供服務;今年5月更與官媒人民網在北京合作設立數據中心。
至於被紅米上傳的手機資料,全數被加密,楊和生暫未能破解。但由於上傳的檔案大小由893B至30KB不等,楊認為不尋常,「普通嘅系統資料唔會咁大」, 以此估計,被傳送的有可能包括通訊錄在內等文字資料。
其後楊再為紅米安裝聲稱已堵塞漏洞的OTA更新包,發現手機已沒有再將資料傳到北京,但就改為每隔半小時自動將手機資料上傳到位於新加坡的Amazon伺服器。同樣,上傳的資料也被加密,檔案大小由143B至4KB不等,較更新前細,「似係拆細 咗續次send,不過上傳嘅時間好密,一樣好唔尋常」。
至於該Amazon伺服器,屬公開的雲端伺服器,可供任何人士租用,除了可作一般資料貯存外,租戶也可以加裝運算程式。業內人士指出,該伺服器方便隱藏身份,近年吸引不少網絡黑客租用。
最後記者委託資訊安全公司Nexusguard Consulting,將紅米手機的原廠作業系統(Rom)全數刪除,重新安裝由中國第三方人士設計的作業系統,再以同一方法監察手機活動,結果發現紅米 手機已沒有上傳資料到北京藍訊或Amazon,改為每日一次將資料上傳到設計者的伺服器。換言之,之前傳送用戶資料到小米的伺服器,是小米在手機所安裝的系統造成。

稱更新日曆天氣非私隱

小米科技回應稱,安裝更新包後,已經不會再傳輸用戶的個人資料到小米伺服器;至於手機與小米伺服器的連線,內容包括日曆、天氣、軟件更新及系統提醒等互聯網服務,並不涉及用戶私隱。
不過,香港資訊科技商會榮譽會長方保僑認為,紅米手機的上傳動作「不正常」。他指一般手機有可能會上傳系統資料到伺服器,「但係頻率唔會咁密,而且好耐先會做一次」。方保僑又稱,一般新機如未有申請或開啟服務,卻出現大量自動上傳動作,「令人懷疑係access緊某啲私隱」,促小米應盡快澄清事件。

蘋果日報

【本報訊】原廠小米手機內置「小米應用商店」,功能與Android手機的「Google Play Store」一樣,設有各種熱門Apps(應用程式)供用戶下載,但這些Apps疑已被做手腳改裝。用戶使用這些應用程式時,資料會傳送到內地伺服器。
小米手機分中國版本及香港/國際版本。由於資訊審查,中國版沒有Google Play服務,小米於是自行開發小米應用商店取代,內裏收集有facebook、WhatsApp等熱門Android Apps,還包括一些Google Play上的收費Apps,全供免費下載,吸引不少香港版用家使用。

傳至9個伺服器

資訊安全公司Nexusguard Consulting測試過小米應用商店內的Apps,發現這些Apps會連接中國內地伺服器。例如在Google Play下載的官方WhatsApp,用戶發短訊時,資料內容只會經過Google及WhatsApp的美國伺服器,再傳到目標用戶的手機。但在小米應用 商店下載的小米版WhatsApp,則疑被人預先修改,發短訊時資料會傳到九個中國伺服器。
根據IP資料,九個伺服器分別屬於中國聯通、北京森華易騰通信技術有限公司及北京藍訊通信技術有限責任公司,分別位處北京及廣州。中國聯通是國企,主打電訊服務;北京森華易騰主要經營互聯網數據中心及網絡安全服務,也會向其他公司提供收集大數據(Big Data)等服務。小米應用商店上的Apps,外觀與Google Play的官方Apps無分別。惟記者發現小米版Apps的檔案普遍較大。以WhatsApp及facebook為例,小米版與官方的程式版本相同,但小米版的檔案大小為15.3MB及13.67MB,官方則只有14.59MB及13.66MB。另現時Google play上的官方facebook App,版本為15.0;小米版卻已去到17.0,比官方還要「新」。

沒有留言: