在八月十日時,小米回應F-Secure對於小米在網路簡訊方面有回傳資料到北京伺服器的問題並發表道歉,之後發放了系統更新檔,將原來預設開啟的功能改為用戶啟動才會生效。不過在這段期間,依然有很多網友質疑這個更新檔無效,會傳到北京的資料似乎還會傳去。
有網友在香港的討論區表示,自己將紅米1s升級到最新的「升級包」後,再進行重新設定,並將小米服務預設關閉,發現仍有很多「服務」自動連線上北京。之後他再進行root(刷機),並剷走所有小米服務及內置Apps,同時加裝防火牆後,結果系統仍能上北京;甚至關閉了「網路簡訊」功能後,仍能夠連線至北京。因此依然還是有很多人對於小米更新之後的表現半信半疑。
因此,F-Secure針對大家的疑慮,再度下載並安裝了系統更新檔,根據更新過後的小米進行了簡單的測試。(原文在此)
首先,他們將手機回復出廠設定,並作重新啟動時,發現原先預設「開啟」的小米雲訊息已經轉為「關閉」。
然後他們再次根據上次同樣的設定去測試:
- 新增一聯絡人
- 發出並接收一個sms訊息
- 撥出電話及接收電話
根據測試的結果,這次並沒有發現任何資料由電話中傳出。接下來他們啟動雲訊息功能和小米雲的時候,見到傳送至https://api.account.xiaomi.com 的資料,已經過base-64 加密。
此外,這次的數據傳輸方式也已經將之前不安全的http轉換為https。
芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示,雖然台灣小米已經表示不會將資訊外流給第三方,也表達未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料,但卻無法告訴用戶收集這些個資的目的與原因為何,難怪會造成用戶的反彈跟疑慮。再加上雲端服務原本就沒有地域限制,只要廠商沒有妥善保管用戶資訊,一旦外流就可能成為國際上流通的資訊。
不只小米有個資外洩的疑慮,先前蘋果官方也承認iOS系統的確可以在未經消費者同意的情況直接收集個資,事實上只要是行動裝置的廠商,都具有類似的功能, 但主要是要收集產品的使用情況,而非消費者資訊。多半智慧型裝置的使用者為了獲取更好、更完整的服務,對於有限度地開放個資甚至權限並不會抗拒。但若未經 消費者同意就進行資料收集,或是手握大量消費者資訊的廠商,保存不當讓資料外洩就不是消費者可以輕易原諒的事情。
此外,關於這一波的事件,小米副總裁Hugo Barra 亦在此回應有關更新檔事宜。
[相關新聞]
小米官網對「網路簡訊」泄露個資官方回應
小米官方對網路盛傳個資流向北京伺服器事件發布聲明
科技愈進步,資料外洩愈多! 13個保護個資的提醒
留言列表
留言列表
