小米手机官方网站截图。(图片来源:mi.com)
资讯安全专家发现,早前被揭发擅自上传用户资料到北京伺服器的国产小米手机,虽然生产商已经就事件道歉并更新程式堵塞漏洞,但手机资讯仍然自动频密外泄,接收的伺服器这次不在北京,而在新加坡一个身份不明的租用伺服器
苹果日报委托资讯保安专家杨和生及资讯安全公司Nexusguard进行测试,发现更新后的红米1S,即使在静止状态,每隔半小时便会自动上传手机资料到新加坡一个租用的伺服器。小米回应称,与伺服器连线只为客户更新日历、天气等系统,不涉私隐。业界与专家直指情况不寻常,有泄漏客户私隐之嫌。
上月有电脑保安公司发现,小米3及红米1S两款手机会将用家的手机序号及电话号码,传送到小米位于北京的伺服器;而以手机发送短讯时,更会连接收短讯者的电话也传到同一伺服器。事后小米发声明道歉,并向用户提供OTA更新包,指已解决有关问题,声称安装后便可“安心使用”。该更新包适用于所有小米手机。
苹果日报于是委托互联网协会网络保安及私隐小组召集人杨和生,为香港版红米1S手机进行为期13天的监察测试;供测试的红米是全新机,开封后立即连接由杨设立的WiFi网络,以便监察手机有否向互联网发放资料。
监察期间,手机一直维持闲置状态,只会偶尔进行拍照或新增通讯录等不涉及上网等动作,也没有登记及开启任何云端或互联网服务。
专家发现,红米手机在未安装更新包前,每日早上会自动将手机资料上传到北京伺服器。根据IP,伺服器登记者为“北京蓝讯通信技术有限责任公司”,该公司主要从事中国互联网传输工作,为不少政府部门及国企提供服务;今年5月更与官媒人民网在北京合作设立数据中心。
至于被红米上传的手机资料,全数被加密,杨和生暂未能破解。但由于上传的档案大小由893B至30KB不等,杨认为不寻常,以此估计,被传送的有可能包括通讯录在内等文字资料。
报导指,其后杨再为红米安装声称已堵塞漏洞的OTA更新包,发现手机已没有再将资料传到北京,但就改为每隔半小时自动将手机资料上传到位于新加坡的Amazon伺服器。同样,上传的资料也被加密,档案大小由143B至4KB不等,较更新前细,有点像大的档案被拆小,然后分批传送,因此上传时间频密,“同样是极不寻常”。
报导又指,该Amazon伺服器,属公开的云端伺服器,可供任何人士租用,除了可作一般资料贮存外,租户也可以加装运算程式。业内人士指出,该伺服器方便隐藏身份,近年吸引不少网络黑客租用。
报导指,最后记者委托资讯安全公司Nexusguard Consulting,将红米手机的原厂作业系统(Rom)全数删除,重新安装由中国第三方人士设计的作业系统,再以同一方法监察手机活动,结果发现红米手机已没有上传资料到北京蓝讯或Amazon新加坡的伺服器,改为每日一次将资料上传到设计者的伺服器。换言之,之前传送用户资料到小米的伺服器,是小米在手机所安装的系统造成。
报导引述小米科技回应称,安装更新包后,已经不会再传输用户的个人资料到小米伺服器;至于手机与小米伺服器的连线,内容包括日历、天气、软件更新及系统提醒等互联网服务,并不涉及用户私隐。
不过,香港资讯科技商会荣誉会长方保侨认为,红米手机的上传动作“不正常”。他指一般手机有可能会上传系统资料到伺服器,“但频率不会如此频密”。方保侨又称,一般新机如没有申请或开启服务,却出现大量自动上传动作,让人怀疑别有内情,促小米尽快澄清事件。
