小米手機官方網站截圖。(圖片來源:mi.com)
資訊安全專家發現,早前被揭發擅自上傳用戶資料到北京伺服器的國產小米手機,雖然生產商已經就事件道歉並更新程式堵塞漏洞,但手機資訊仍然自動頻密外泄,接收的伺服器這次不在北京,而在新加坡一個身份不明的租用伺服器
蘋果日報委託資訊保安專家楊和生及資訊安全公司Nexusguard進行測試,發現更新後的紅米1S,即使在靜止狀態,每隔半小時便會自動上傳手機資料到新加坡一個租用的伺服器。小米回應稱,與伺服器連線只為客戶更新日曆、天氣等系統,不涉私隱。業界與專家直指情況不尋常,有泄漏客戶私隱之嫌。
上月有電腦保安公司發現,小米3及紅米1S兩款手機會將用家的手機序號及電話號碼,傳送到小米位於北京的伺服器;而以手機發送短訊時,更會連接收短訊者的電話也傳到同一伺服器。事後小米發聲明道歉,並向用戶提供OTA更新包,指已解決有關問題,聲稱安裝後便可「安心使用」。該更新包適用於所有小米手機。
蘋果日報於是委託互聯網協會網絡保安及私隱小組召集人楊和生,為香港版紅米1S手機進行為期13天的監察測試;供測試的紅米是全新機,開封后立即連接由楊設立的WiFi網絡,以便監察手機有否向互聯網發放資料。
監察期間,手機一直維持閒置狀態,只會偶爾進行拍照或新增通訊錄等不涉及上網等動作,也沒有登記及開啟任何雲端或互聯網服務。
專家發現,紅米手機在未安裝更新包前,每日早上會自動將手機資料上傳到北京伺服器。根據IP,伺服器登記者為「北京藍訊通信技術有限責任公司」,該公司主要從事中國互聯網傳輸工作,為不少政府部門及國企提供服務;今年5月更與官媒人民網在北京合作設立數據中心。
至於被紅米上傳的手機資料,全數被加密,楊和生暫未能破解。但由於上傳的檔案大小由893B至30KB不等,楊認為不尋常,以此估計,被傳送的有可能包括通訊錄在內等文字資料。
報導指,其後楊再為紅米安裝聲稱已堵塞漏洞的OTA更新包,發現手機已沒有再將資料傳到北京,但就改為每隔半小時自動將手機資料上傳到位於新加坡的Amazon伺服器。同樣,上傳的資料也被加密,檔案大小由143B至4KB不等,較更新前細,有點像大的檔案被拆小,然後分批傳送,因此上傳時間頻密,「同樣是極不尋常」。
報導又指,該Amazon伺服器,屬公開的雲端伺服器,可供任何人士租用,除了可作一般資料貯存外,租戶也可以加裝運算程式。業內人士指出,該伺服器方便隱藏身份,近年吸引不少網絡黑客租用。
報導指,最後記者委託資訊安全公司Nexusguard Consulting,將紅米手機的原廠作業系統(Rom)全數刪除,重新安裝由中國第三方人士設計的作業系統,再以同一方法監察手機活動,結果發現紅米手機已沒有上傳資料到北京藍訊或Amazon新加坡的伺服器,改為每日一次將資料上傳到設計者的伺服器。換言之,之前傳送用戶資料到小米的伺服器,是小米在手機所安裝的系統造成。
報導引述小米科技回應稱,安裝更新包後,已經不會再傳輸用戶的個人資料到小米伺服器;至於手機與小米伺服器的連線,內容包括日曆、天氣、軟件更新及系統提醒等互聯網服務,並不涉及用戶私隱。
不過,香港資訊科技商會榮譽會長方保僑認為,紅米手機的上傳動作「不正常」。他指一般手機有可能會上傳系統資料到伺服器,「但頻率不會如此頻密」。方保僑又稱,一般新機如沒有申請或開啟服務,卻出現大量自動上傳動作,讓人懷疑別有內情,促小米儘快澄清事件。
