F-Secure 初歩確定小米手機有「蒐集」數據的行為
F-Secure 日前公佈針對「小米」手機會否把個人資料回傳給北京的傳聞作出測試報告,結果發現小米手機在背景作業中出現回傳至 api.account.xiaomi.com 伺服器,甚至在新機還沒有進行任何初始安裝設定,單純連上 WIFI 也會把用戶的手機號和 IEMI 傳到位於北京的伺服器。
據 F-Secure 表現,市場傳言市場上小米手機以至各種來自中國推出的 App ,包括獵豹移動、奇虎 360 、 WeChat 及一些影音 App 等,均被發現有資枓回傳中國的疑慮, F-Secure 認為中國業者多有蒐集手機使用者行為的情況,但不能判斷回傳資料數據的用途,難以判定是否存在惡意行為。
F-Secure 位於馬來西亞的實驗室就在市場上抽樣測試兩款全新小米 3 代及紅米 1s 小機,並在 7 月 31 日至 8 月 6 日進行了反覆測試,為求測試果準確而不會安裝小米雲服務,開機後不會進行其他設定並插入沒有網絡功能的手機 SIM 卡,手機唯一連線途徑是能檢測封包資訊的 F-Secure 實驗室無線 AP 。
芬安全亞洲區資安顧問吳樹謙指出,當 Sim 卡插紅米 1s 或是小米 3 代手機,並且連接至 F-Secure 實驗室無線 AP ,發現手機會自動把手機 IMSI 、 IEMI 序號及 SIM 卡手機號碼,自動傳送至 api.account.xiaomi.com 伺服器。此外,在手機新增手機通訊錄聯絡人並發送簡訊後,手機會把接收者的號碼轉發至該伺服器中。
吳樹謙表示不能判斷資料回傳是否惡意,手機在剛連上 WIFI 時就自動把手機的 SIM 卡號回傳至 api.account.xiaomi.com 伺服器的做法,的確會令使用者感到擔憂,一般智能力手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼,同樣也不會收集傳接簡訊的手機號碼。
在測試時更發現,手機會把作業系統安裝的程式名單傳到 policy.app.xiaomi.com 伺服器,而 Google 對此伺服器 URL 及 Domain 沒有相關資料,不明白業者為何要取得使用者的應用程式安裝清單, F-Secure 對紅米 1s 手機的行為感到疑慮。
當打開手機的安全中心, F-Secure 發現有加密的封包回傳至 pmir.3g.qq.com 伺服器,手機在背景時會不定時連線至小米位於北京的伺服器 out68-9.mxzwb3.hichina.com ,在系統輸入文字時則會傳送資料至 www.umeng.com 伺服器,由於傳送的資料被加密, F-Secure 並無法得悉被傳送的資料為何。
F-Secure 暫時不會評論小米手機把資料回傳至小米伺服器的做法是否存在惡意,實驗室已經收集了有關封包並需要數個月時間作出分析包括 App 及系統底層,但就初歩測試已確定有「蒐集」數據的行為。
|