偷傳用戶資料到北京 小米道歉急補救
以飢餓行銷聞名的小米、紅米手機,被證實會回傳用戶資料到北京的伺服器,小米科技公開承認並且道歉,馬上提供軟體更新的補救之道。
日前台灣媒體引用資安公司芬安全(F-Secure)的測試報告,證實小米手機偷傳資料到北京伺服器,小米昨天(10號)在臉書專頁張貼緊急聲明,坦言的確有一項「網路簡訊」服務,會自動啟動,將使用者的電話號碼、IMSI(國際行動用戶識別碼)及 IMEI碼(國際行動裝置識別碼),回傳到小米位於北京的伺服器上。
小米科技昨天緊急釋出手機系統升級包,關閉「網路簡訊」自動啟動功能,但小米科技對於偷傳資料爭議行為沒有多做解釋。
蒐台用戶資料 小米認了急修補
北京小米科技有限責任公司承認,未經手機使用者同意回傳了包括台灣用戶在內的資料,並稱已透過升級、更新系統解決了問題。但一些用戶抱怨,升級後出現問題。
小米台灣的臉書(Facebook)官網昨天發表聲明,證實確有一個內置於小米手機系統內的「網路簡訊」服務,在未經使用者同意的情況下會自動啟動,將使用者的電話號碼、IMSI(國際移動用戶識別碼)及IMEI碼(國際移動裝置識別碼)傳回小米的伺服器上。
另外,小米也證實,透過這個「網路簡訊服務」上傳使用者電話號碼沒有加密。因採用明碼傳送,有能力的網管人員可輕易利用監控工具、竊取使用者的電話號碼。
小米昨天發表OTA(網路自動下載技術)升級包,關閉「網路簡訊」自動啟動功能,用戶可依據自己的需要選擇是否啟動這項服務。
關於透過網路簡訊識別用戶的電話號碼,小米也修正設置有加密功能,小米宣稱,這能為用戶增加額外的安全防護。
但許多使用小米2S的網友反應,升級後內置的瀏覽器不見了,還有部分用戶指出,這次更新影響了社交軟體Line的部分功能,更有網友抱怨小米越改越爛。
在iThome踢爆小米手機偷傳資料到北京伺服器後,小米於10日在臉書專頁張貼緊急聲明,坦言的確有一項「網路簡訊」服務,未經使用者同意就會「自動啟動」回傳使用者手機號碼到北京。小米雖緊急釋出手機系統升級包解決此問題,但對於其他的資料傳輸爭議行為仍未有解釋
在8月8日iThome找來資安專家實測,踢爆小米手機偷傳資料到北京伺服器後,引起不少臺灣民眾對小米手機的批評聲浪。小米公司第一時間仍信誓旦旦否認此事,辯稱小米手機內建所有服務都會取得使用者同意後才蒐集資料。直到踢爆事件2天後,也就是8月10日,小米發表聲明,推翻了自己兩天前的說法,坦言確實有一項服務「網路簡訊」會「自動啟動」回傳手機號碼到北京。
小米科技8月10日在官方粉絲團上發布緊急聲明,證實的確有一個內建於小米手機作業系統內的「網路簡訊」服務,在未經使用者同意的情況下,就會自動啟動,將使用者的電話號碼、IMSI(國際行動用戶識別碼)及 IMEI碼(國際行動裝置識別碼),回傳到小米伺服器上。另外,小米也證實了透過這個網路簡訊服務回傳北京的使用者電話號碼沒有加密,而是採用明碼傳遞。
因採明碼發送,一般具備相當電腦能力的網管人員,利用網路監聽工具可以在同一個網路環境中側錄到這隻手機所發送的網路封包來取得真實電號碼,不需要經過破解。換句話說,過去用小米手機的民眾,你的電話號碼已經暴露在你所身處的網際網路上,例如你在咖啡廳用小米手機上網,若有人用網路監聽工具側錄這個Wi-Fi的網路封包,就能偷到你的電話號碼。或是在任何公共場所:機場,學校,辦公室的網路環境都一樣有被竊取手機號碼的機會。
小米科技也在聲明稿中向用戶道歉,並如同先前還沒被資安公司發現偷傳資料前的說法,再次聲明所有服務「未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料。」但並未解釋為何仍會被發現了有這個自動啟動的「網路簡訊」服務。
不過,小米科技也未有任何說明來解釋資安專家發現的其他可疑資料傳輸行為,也有不少臉友紛紛在小米臉書專頁這篇聲明稿下方留言,質疑小米沒有交代為何要將使用者手機上所有應用程式的清單回傳。
對於偷傳資料爭議行為沒有多做解釋?幹嘛要解釋?反正就是「竊取user資料回總部」的小偷行為被抓到,完全不用解釋!
我看黑心米的愛用者應該對「用戶可依據自己的需要選擇是否啟動這項服務」要選擇「啟用」才對!這樣子才能把資料傳回北京總部!