Wednesday, 10 September 2014

TechWeb:小米应用商店内有玄机 App被“做手脚”引香港监管部门调查

香港资讯保安专家杨和生和资讯安全公司Nexusguard对新的红米1S手机进行13天测试,结果发现如果不更新由小米公司提供的“更新包”,手 机每天上午会自动把资料加密传送到北京服务器,即使安装小米公司的“更新包”,红米手机仍会每隔半小时自动上传手机资料,到新加坡一个租用的亚马逊服务 器。
小米手机分中国大陆版本及香港/国际版本。中国版沒有Google Play服务,小米于是自行开发小米应用商店取代,店内有facebook、WhatsApp等热门Android Apps,还包括一些Google Play上的收费Apps,全供免费下載,吸引不少香港版用户使用。
资讯安全公司Nexusguard Consulting测试过小米应用商店内的Apps,发现这些Apps会连接中国内地伺服器。例如在Google Play下载的官方WhatsApp,用户发短讯时,资料内容只会经过Google及WhatsApp的美国服务器,再传到目标用户的手机。但在小米应用 商店下载的小米版WhatsApp,则疑被人预先修改,发短讯时资料会传到九个中国服务器。
根据IP资料,九个服务器分别属于中国联通、北京森华易腾通信技术有限公司及北京蓝讯通信技术有限责任公司,分别位处北京及广州。北京森华易腾主要经营互联网数据中心及网络安全服务,也会向其他公司提供收集大数据(Big Data)等服务。
此外,小米版Apps的档案普遍较大。以WhatsApp及facebook为例,小米版与官方的程式版本相同,但小米版的档案大小为15.3MB 及13.67MB,官方则只有14.59MB及13.66MB。另现时Google play上的官方facebook App,版本为15.0;小米版却已去到17.0,比官方还要“新”。
在Nexusguard Consulting公司测试后曝出小米手机每隔半小时将手机资料上传到新加坡服务器后,香港“个人资料私隐专员公署”(以下简称“公署”)表示会主动调查此事。
公署称近日接获9宗有关小米手机投诉,由于投诉人未能提供进一步资料,故暂将投诉个案终结。不过基于事态发展及掌握资料,公署现正主动跟进调查事件。消息称,公署方正调查小米在香港的联系公司,以收集证据;如有必要会要求境外执法部门协助调查。

小米刚道歉 又爆红米上传资料
大陆手机商小米公司8月才被揭发手机会擅自上传用户资料到北京伺服器,因而道歉,但港媒今天报导,经资安专家测试,发现小米公司的红米1S手机更新后,仍会每半小时上传资料到新加坡。
对此,小米公司回应,手机与伺服器连线只是替客户更新日历、天气等系统,不涉及隐私。但专家仍指,此举增加用户资料外泄风险。
香港苹果日报日前委托香港资讯保安专家杨和生和资讯安全公司Nexusguard对新的红米1S手机进行13天测试,结果发现如果不更新由小米公司提供的“更新包”,手机每天上午会自动把资料加密传送到承揽大陆政府部门和国企业务的北京蓝讯通讯技术公司伺服器。
专家发现,即使安装小米公司的“更新包”,红米手机仍会每隔半小时自动上传手机资料,到新加坡一个租用的亚马逊(Amazon)伺服器。
报导说,测试期间红米1S手机一直保持闲置,偶尔进行拍照或新增通讯录等不涉及上网的动作,也没有登记和开放任何云端或网路服务,但仍发现手机频频上传资料。
报导引述业内人士说法指出,这个亚马逊伺服器属于公开的云端伺服器,可供任何人士租用,这样的伺服器方便隐藏身分,近年吸引不少网路骇客租用。
最后,专家把红米手机原厂作业系统全数删除,重新安装第三方作业系统,再度监测手机活动,发现红米手机不会再上传资料到北京或新加坡伺服器,改每天一次把资料上传到设计者的伺服器,因此确认红米先前的传输资料动作,都是小米作业系统所造成。
虽然小米称只是替客户更新日历、天气等资料,但香港资安专家反驳,把手机资料加密上传时间如此频繁,令人怀疑是登入用户隐私资料,且传到租用伺服器,难保个人资料不会泄漏,敦促小米公司尽快说明。
镜像链接:谷歌镜像 | 亚马逊镜像

相关日志



from 墙外楼 http://www.letscorp.net/archives/76123
on
Labels: , ,