小米台湾承认私自上传用户信息 公开道歉并紧急更新系统
陌汐er | 2014-08-11 09:31
在8月8日iThome找来资安专家实测,踢爆小米手机偷传资料到北京伺服器后,引起不少台湾民众对小米手机的批评声浪。小米公司第一时间仍信誓旦旦否认此事,辩称小米手机内建所有服务都会取得使用者同意后才搜集资料。直到踢爆事件2天后,也就是8月10日,小米发表声明,推翻了自己两天前的说法,坦言确实有一项服务「网路简讯」会「自动启动」回传手机号码到北京。
小米科技8月10日在官方粉丝团上发布紧急声明,证实的确有一个内建于小米手机作业系统内的「网路简讯」服务,在未经使用者同意的情况下,就会自动启动,将使用者的电话号码、IMSI(国际行动用户识别码)及IMEI码(国际行动装置识别码),回传到小米伺服器上。另外,小米也证实了透过这个网路简讯服务回传北京的使用者电话号码没有加密,而是采用明码传递。
因采明码发送,一般具备相当电脑能力的网管人员,利用网路监听工具可以在同一个网路环境中侧录到这只手机所发送的网路封包来取得真实电号码,不需要经过破解。换句话说,过去用小米手机的民众,你的电话号码已经暴露在你所身处的网际网路上,例如你在咖啡厅用小米手机上网,若有人用网路监听工具侧录这个Wi-Fi的网路封包,就能偷到你的电话号码。或是在任何公共场所:机场,学校,办公室的网路环境都一样有被窃取手机号码的机会。
小米科技也在声明稿中向用户道歉,并如同先前还没被资安公司发现偷传资料前的说法,再次声明所有服务「未经用户允许,不会主动上传涉及用户隐私的个人资讯和资料。」但并未解释为何仍会被发现了有这个自动启动的「网路简讯」服务。
不过,小米科技也未有任何说明来解释资安专家发现的其他可疑资料传输行为,也有不少脸友纷纷在小米脸书专页这篇声明稿下方留言,质疑小米没有交代为何要将使用者手机上所有应用程式的清单回传。
以下是小米科技在脸书上的声明全文:
关于“网路简讯”的紧急声明
小米是一家行动互联网公司,致力于提供高品质的手机和优质的互联网服务,同时非常重视保护用户隐私。小米提供的所有互联网服务均符合小米公司隐私条款:未经用户允许,不会主动上传涉及用户隐私的个人资讯和资料。
基于近日台湾的媒体报导,部分用户对“网路简讯”自动启动后的个人隐私资料传送的担忧,小米公司非常重视,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网路简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网路简讯” 可经由“设置> 小米云服务> 免费网路简讯”,或至简讯应用中启动该服务。
小米公司对给用户造成困扰表示诚挚歉意,也感谢广大媒体、用户第一时间给我们反馈问题和修正机会,给小米更快进步空间,为用户持续提供更优质更安全的互联网服务。
小米公司
2014年8月10日
附“网路简讯”服务原理详解:
Q:小米的“网路简讯”服务是什么?
A:“网路简讯”是MIUI 的系统功能之一,传统简讯是通过电信公司简讯闸道系统(SMS Gateway)发送简讯。而MIUI的“网路简讯”是通过IP传输协议,为用户提供免费的简讯传递服务。
Q:“网路简讯”如何运作?会储存用户个人资料吗?
A:小米手机在开机后,会通过小米伺服器和IP 通讯协定,自动启动“网路简讯”服务,提供用户免费发送简讯的服务。MIUI“网路简讯” 使用手机唯一识别码(包括电话号码、IMSI 及IMEI)对应后提供两设备间的资料传输,其原理和其他即时通讯应用软体相仿。而用户的个人隐私资讯,包括电话号码和通讯录等资讯,都不会储存在“网路简讯”小米伺服器上。经加密处理的传输资讯内容,也不会被保留于小米伺服器上。
Q:以上所说和近日引发疑虑的用户隐私问题有什么关系?小米如何应对?
A:近日台湾媒体引用资安公司芬安全(F-Secure)的测试报告,指出小米手机将电话号码回传至小米伺服器,此报告指的即是“网路简讯”服务。
小米公司非常重视保护用户隐私,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网路简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网路简讯” 可经由“设置> 小米云服务> 免费网路简讯”,或至简讯应用中启动该服务。
Q:“网路简讯” 服务究竟如何处理用户的电话号码?
A: “网路简讯” 服务主要使用电话号码,作为用户间传送资讯的识别码,同时也会使用IMEI 及IMSI来检测手机的线上状态。
当用户发送简讯时,如手机正处于连网状态“网路简讯”就会以IP 发送该条简讯;如收信者非在线(意味着无法立即通过IP 连接),系统则会以一般简讯送出,而不会选择通过IP 发送。当用户编辑一条简讯或查看一个联络人资讯时,手机会通过“网路简讯”伺服器以检测该联络人的线上状态,如联络人在线,会以蓝色图示表示;如非在线状态或该用户并未使用“网路简讯”,则会出现灰色图示。此举是为了让用户能够瞭解,该简讯是付费还是免费发送。
在上述过程中,收信者的电话号码,仅是用来辨认该使用者的线上状态,以便判断发送简讯的方式(通过IP 免费发送或电信公司简讯系统付费发送)。任何用户的电话号码和通讯录等个人资料,都不会储存在网路简讯伺服器中。
今天(8月10日)发布的OTA 升级包,同时增加了把用于实现“网路简讯”识别用户的电话号码加密的功能,为用户增加一道额外的安全防护。
未来,我们会持续完善“网路简讯”功能,为用户提供更优质更安全的服务。
by:凤凰科技
喜欢数码科技资讯的你,就记得点击订阅啦。
关注「锋潮评测室」微信公众号【微信号:fengchaopingceshi】,还会送上更多你想要的哦~
0