快速整理iThome關於小米機回傳資料的測試結果 (給懶得看全文的人)

資料來源:小米手機偷傳資料到北京?iThome找資安專家實測:有

受託測試單位:
1. F-Secure 馬來西亞亞洲實驗室
2. 資安公司戴夫寇爾

測試手機:
1. 全新紅米1s (F-Secure)
2. 全新米3 (F-Secure)
3. 正常使用多時的紅米 (戴夫寇爾)

測試時間:
7月31日~8月6日

測試一:F-Secure
全新紅米1s、米三

連接伺服器 (api.account.xiaomi.com)回傳IMEI碼回傳IMSI碼回傳電話號碼傳送形式
開機、插入sim卡、連接無線APOOO明碼
新增聯絡人到電話簿、收發簡訊OO

(簡訊者接收者)
明碼
啟用&登錄小米雲服務OOOO明碼

戴夫寇爾資安研究員岑志豪:一般手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼


測試二:戴夫寇爾
正常使用多時的紅米機,只安裝少數基本App

連接伺服器回傳資料傳送形式
一開機小米主機

(http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php)
所有作業系統安裝的程式名稱明碼
開機後不久小米北京伺服器

(out68-9.mxzwb3.hichina.com)
未知資料加密
打開安全中心pmir.3g.qq.com未知資料加密
在系統輸入文字友盟 umeng

(https://www.umeng.com/app_logs)
使用者資料以及統計數據加密

戴夫寇爾執行長翁浩正:很少見到會回傳應用程式清單


小米官方回應:
手機一開機後的連線行為回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號。
傳送簡訊時驗證手機號碼,是為了確認雙方都是小米手機,才能使用網路簡訊。
登錄小米雲服務依照使用者設定,才能同步使用者手機資料。
回傳應用程式清單開啟小米雲備份功能,會同步使用者下載App,當使用者換新手機時,可以直接由雲備份直接下載即可。
小米機,真恐怖,大家小心,個資很重要,若有個HTC或三星做比較,更能讓大家了解小米機資料外洩的情況
parislike8 wrote:
資料來源:小米手機偷...(恕刪)


現在這裡存在兩種人

一種是相信小米並使用小米的人

一種是不用小米不相信小米的人

再加上工讀生和不明真相的群眾

所以事實真相 Who Care?

parislike8 wrote:
快速整理iThome關於小米機回傳資料的測試結果


簡單明瞭

不過台灣人向來以C/P值為優先考量

安全性? 等真的出事再說吧
投資一定有風險,申購前應詳閱官員財產申報書。
小米官方臉書上已有回應,已提供OTA更新
小米網路簡訊和雲端簡訊備份是不一樣的功能,網路簡訊預設是開啟的,小米想幫小米用戶省簡訊費,同樣是小米用戶可以透過網路發簡訊而不被電信商收費,因此必須藉由對方號碼來判定是否為小米用戶,同樣的自己的號碼也會在開機時被用來判定是否有註冊小米帳號,但是預設開啟讓不知道的人(或有心曲解的人)解釋成是偷資料,引起了個資安全的疑慮,所以小米已經讓工程師加班做OTA升級包把預設開啟的網路簡訊功能給關閉了(升級完恢復原廠設置),如果要開啟網路簡訊必須另行設置。

資訊來源: 我自己 & 台灣小米FB
開版大一點半的發文 竟然還會漏了小米官方12點的回應?

這麼熱心 要不要補上? 最好也做個表格


小米官方中午發佈關於“網路簡訊”的緊急聲明

基於近日台灣的媒體報導,部分用戶對“網路簡訊”自動啟動後的個人隱私資料傳送的擔憂,小米公司非常重視,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由“設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。

全文很長 對為何回傳雙方的號碼 系統運作原理 都有詳細說明:

www.facebook.com/xiaomitaiwan/posts/624328617686245


倒是回傳app清單就是真的在收集使用習慣了

不過我想大家都一樣吧? 有不收集的廠商嗎?
PC、筆電、平板、手機一個都不能少 wrote:

現在這裡存在兩種人

一種是相信小米


沒錯! 若真的care跟有感的話(蘋果日報事件),早點換手機吧?!

話說我上星期還真換掉使用四個月的紅米呢! 還可以賣2500(含16g卡跟貼) 真是不錯的手機!
奇怪的是,預設開啟「網路簡訊」是哪一隻米雞?

我剛剛看了一下家裡的紅米系列預設都是關閉的不是嗎?

印象中是第一次開機過程中會詢問要不要開啟。
今天.... 小米已經釋出系統更新,來處理這一件事情了吧 ?

看來..... 回傳資料是真的,只不過.... 各方的說法不太一樣 !





關於“網路簡訊”的緊急聲明
小米是一家行動互聯網公司,致力於提供高品質的手機和優質的互聯網服務,同時非常重視保護用戶隱私。小米提供的所有互聯網服務均符合小米公司隱私條款:未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料。
基於近日台灣的媒體報導,部分用戶對“網路簡訊”自動啟動後的個人隱私資料傳送的擔憂,小米公司非常重視,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由“設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。
小米公司對給用戶造成困擾表示誠摯歉意,也感謝廣大媒體、用戶第一時間給我們反饋問題和修正機會,給小米更快進步空間,為用戶持續提供更優質更安全的互聯網服務。
小米公司
2014年8月10日
附“網路簡訊”服務原理詳解:
Q:小米的 “網路簡訊”服務是什麼?
A:“網路簡訊”是 MIUI 的系統功能之一,傳統簡訊是通過電信公司簡訊閘道系統(SMS Gateway)發送簡訊。而MIUI的“網路簡訊”是通過IP傳輸協議,為用戶提供免費的簡訊傳遞服務。
Q:“網路簡訊”如何運作?會儲存用戶個人資料嗎?
A:小米手機在開機後,會通過小米伺服器和 IP 通訊協定,自動啟動“網路簡訊”服務,提供用戶免費發送簡訊的服務。MIUI“網路簡訊” 使用手機唯一識別碼(包括電話號碼、IMSI 及 IMEI)對應後提供兩設備間的資料傳輸,其原理和其他即時通訊應用軟體相仿。而用戶的個人隱私資訊,包括電話號碼和通訊錄等資訊,都不會儲存在 “網路簡訊”小米伺服器上。經加密處理的傳輸資訊內容,也不會被保留於小米伺服器上。
Q:以上所說和近日引發疑慮的用戶隱私問題有什麼關係?小米如何應對?
A:近日台灣媒體引用資安公司芬安全(F-Secure)的測試報告,指出小米手機將電話號碼回傳至小米伺服器,此報告指的即是“網路簡訊”服務。
小米公司非常重視保護用戶隱私,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由 “設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。
Q:“網路簡訊” 服務究竟如何處理用戶的電話號碼?
A: “網路簡訊” 服務主要使用電話號碼,作為用戶間傳送資訊的識別碼,同時也會使用 IMEI 及 IMSI來檢測手機的線上狀態。
當用戶發送簡訊時,如手機正處於連網狀態 “網路簡訊”就會以 IP 發送該條簡訊;如收信者非在線(意味著無法立即通過 IP 連接),系統則會以一般簡訊送出,而不會選擇通過 IP 發送。當用戶編輯一條簡訊或查看一個聯絡人資訊時,手機會通過“網路簡訊”伺服器以檢測該聯絡人的線上狀態,如聯絡人在線,會以藍色圖示表示;如非在線狀態或該用戶並未使用“網路簡訊”,則會出現灰色圖示。此舉是為了讓用戶能夠瞭解,該簡訊是付費還是免費發送。
在上述過程中,收信者的電話號碼,僅是用來辨認該使用者的線上狀態,以便判斷發送簡訊的方式(通過 IP 免費發送或電信公司簡訊系統付費發送)。任何用戶的電話號碼和通訊錄等個人資料,都不會儲存在網路簡訊伺服器中。
今天(8月10日)發佈的 OTA 升級包,同時增加了把用於實現“網路簡訊”識別用戶的電話號碼加密的功能,為用戶增加一道額外的安全防護。
未來,我們會持續完善“網路簡訊”功能,為用戶提供更優質更安全的服務。




文章分享
評分
複製連結
請輸入您要前往的頁數(1 ~ 11)
bluekai