iThome再測熱門手機iPhone5s,資安專家稱讚很安靜,沒像小米偷傳資料
小米手機先前面對各界對其回傳使用者資訊回北京伺服器一事,都以其他競爭同業都做同樣的事情一語帶過,合理化其回傳使用者資訊的作為。因此,iThome同樣聯繫資安公司芬安全(F-Secure)位於馬來西亞的亞洲資安實驗室,測試iPhone手機是否如同小米手機宣稱一樣,其實像蘋果公司也會不經使用者同意,就回傳使用者資訊。不過,芬安全亞洲資安顧問吳樹謙表示,iPhone5s測試過程很「安靜」,所有的資訊都已經加密並以HTTPS傳輸,沒有回傳未經使用者同意的使用者資料到蘋果伺服器。
檢測全新iPhone5s,加密傳輸經加密的手機資訊
為了確保檢測過程的精準,避免其他不必要的變數干擾,iThome請芬安全亞洲資安實驗室,在馬來西亞當地經蘋果授權的經銷商,採購一支全新銀色、16GB的iPhone5s手機進行測試,該手機執行作業系統版本是iOS 7.1版。
同樣由具有逆向工程及惡意程式分析經驗的工程師,在芬安全亞洲資安實驗室進行測試。首先,打開手機電源後,連上芬安全實驗室的無線基地臺,這個程序是為了確認,蘋果手機開機後,是否有像小米手機一樣,會以明碼方式回傳手機的IMEI碼和電話號碼到小米北京伺服器。
根據測試結果,連上無線網路的iPhone5s,會先傳送手機所在地的地理資訊回蘋果伺服器。接著,芬安全將手機SIM卡插入受測的iPhone5s後並連上無線網路,新增手機通訊錄名單,測試撥打與接聽電話,以及收發文字簡訊及多媒體簡訊。從測試結果發現,蘋果此時會以加密傳輸方式,將手機的IMEI碼、IMSI碼、SIM卡手機號碼、手機序號及裝置代碼等資料,加密回傳蘋果伺服器。
吳樹謙指出,因為蘋果會根據地理資訊自動調校手機時間,所以在手機啟用連網後,會出現iPhone5s有回傳地理資訊到蘋果伺服器,也會以加密方式傳輸手機的IMEI碼回蘋果。至於,裝上SIM卡後的測試則發現,蘋果回傳伺服器的各種手機資訊,資料本身都已經加密並經過加密傳輸。
啟用蘋果雲端服務,iCloud密碼以SHA512加密方式傳送
小米手機檢測到的資安風險,除了一開始以明碼方式回傳手機IMEI碼和手機號碼外,其他的資安問題還包括:由芬安全先前檢測小米手機時發現,小米手機未經使用者同意自動啟用網路簡訊服務,並以明碼方式回傳包含使用者電話在內的個人資訊,回傳小米北京伺服器。另外則是由臺灣資安公司戴夫寇爾測試一支使用中的紅米手機時發現,沒有啟用小米雲服務的前提下,卻會回傳應用程式清單回小米伺服器。
面對相關的資安檢測,小米科技在2天內快速修補未經使用者同意便啟用網路簡訊及明碼傳送手機資訊的漏洞,提供啟用網路簡訊服務的選項,並以加密方式回傳使用者資訊。但是小米手機仍未回答,沒有啟動雲端服務、不應該存在雲端App備份服務時,小米手機為何持續回傳應用程式清單回小米伺服器呢?而這個資安隱憂在小米手機OTA修正後,依舊存在。