更新軟件後 變每半小時「過料」紅米傳資訊到星洲 專家指極不尋常
1 :
GS(14)@2014-09-08 23:21:52【本報訊】國產手機小米上月被揭發擅自上傳用戶資料到北京伺服器,小米為此道歉及推出供用戶下載的「更新包」補鑊,聲稱已堵塞漏洞。不過,《蘋果》委託資訊保安專家楊和生及資訊安全公司Nexusguard進行測試,發現更新後的紅米1S,即使在靜止狀態,每隔半小時便會自動上傳手機資料到新加坡一個租用的伺服器。小米回應稱,與伺服器連線只為客戶更新日曆、天氣等系統,不涉私隱。業界與專家直指情況不尋常,有洩漏客戶私隱之嫌。記者:梁御和上月有電腦保安公司發現,小米3及紅米1S兩款手機會將用家的手機序號及電話號碼,傳送到小米位於北京的伺服器;而以手機發送短訊時,更會連接收短訊者的電話也傳到同一伺服器。事後小米發聲明道歉,並向用戶提供OTA更新包,指已解決有關問題,聲稱安裝後便可「安心使用」。該更新包適用於所有小米手機。本報委託互聯網協會網絡保安及私隱小組召集人楊和生,為香港版紅米1S手機進行為期13天的監察測試;供測試的紅米是全新機,開封後立即連接由楊設立的WiFi網絡,以便監察手機有否向互聯網發放資料。
■保安專家楊和生發現,紅米手機每半小時會自動上傳手機資料到伺服器。方智傑攝
檔案大或含文字資料
監察期間,手機一直維持閒置狀態,只會偶爾進行拍照或新增通訊錄等不涉及上網等動作,也沒有登記及開啟任何雲端或互聯網服務。結果發現,紅米手機在未安裝更新包前,每日早上會自動將手機資料上傳到北京伺服器。根據IP,伺服器登記者為「北京藍訊通信技術有限責任公司」,該公司主要從事中國互聯網傳輸工作,為不少政府部門及國企提供服務;今年5月更與官媒人民網在北京合作設立數據中心。
至於被紅米上傳的手機資料,全數被加密,楊和生暫未能破解。但由於上傳的檔案大小由893B至30KB不等,楊認為不尋常,「普通嘅系統資料唔會咁大」,以此估計,被傳送的有可能包括通訊錄在內等文字資料。其後楊再為紅米安裝聲稱已堵塞漏洞的OTA更新包,發現手機已沒有再將資料傳到北京,但就改為每隔半小時自動將手機資料上傳到位於新加坡的Amazon伺服器。同樣,上傳的資料也被加密,檔案大小由143B至4KB不等,較更新前細,「似係拆細咗續次send,不過上傳嘅時間好密,一樣好唔尋常」。
至於該Amazon伺服器,屬公開的雲端伺服器,可供任何人士租用,除了可作一般資料貯存外,租戶也可以加裝運算程式。業內人士指出,該伺服器方便隱藏身份,近年吸引不少網絡黑客租用。最後記者委託資訊安全公司Nexusguard Consulting,將紅米手機的原廠作業系統(Rom)全數刪除,重新安裝由中國第三方人士設計的作業系統,再以同一方法監察手機活動,結果發現紅米手機已沒有上傳資料到北京藍訊或Amazon,改為每日一次將資料上傳到設計者的伺服器。換言之,之前傳送用戶資料到小米的伺服器,是小米在手機所安裝的系統造成。
稱更新日曆天氣非私隱
小米科技回應稱,安裝更新包後,已經不會再傳輸用戶的個人資料到小米伺服器;至於手機與小米伺服器的連線,內容包括日曆、天氣、軟件更新及系統提醒等互聯網服務,並不涉及用戶私隱。不過,香港資訊科技商會榮譽會長方保僑認為,紅米手機的上傳動作「不正常」。他指一般手機有可能會上傳系統資料到伺服器,「但係頻率唔會咁密,而且好耐先會做一次」。方保僑又稱,一般新機如未有申請或開啟服務,卻出現大量自動上傳動作,「令人懷疑係access緊某啲私隱」,促小米應盡快澄清事件。
來源:
http://hk.apple.nextmedia.com/news/art/20140908/18859460
2 :
GS(14)@2014-09-09 12:02:09http://hk.apple.nextmedia.com/news/art/20140908/18859470
【本報訊】有「山寨蘋果」之稱的小米手機,無論產品設計、廣告及行銷方式也被指抄襲蘋果產品;不過由於定價十分低廉,價錢較蘋果iPhone便宜逾一半,在中國內地大受歡迎,最新公佈2014年上半年共售出2,611萬部,成為全球第五大智能手機供應商。
創辦人扮喬布斯
小米自2011年推出第一部手機以來,便被指其產品設計是抄襲自蘋果,惟小米對此並不避嫌。至今無論是宣傳硬照、甚至是新機發佈會的場內佈置及設計,也跟蘋果十足十。
至於小米創辦人雷軍在新產品發佈會上也模仿已故「蘋果教主」喬布斯,身穿黑色上衣,更加插「One more thing」等經典環節,令一眾「果迷」十分憤怒,在網上齊聲大力抨擊。
然而,小米手機以平價為賣點,價錢由1,000餘元至2,000元不等,大概是iPhone的一半,在中國內地廣受大眾歡迎,首年便成功售出719萬部手機。
近年更進軍香港、台灣、新加坡及印度等地,今年上半年已售出2,611萬部,銷售額更達到330億元人民幣(約416億港元),更成功超越LG,成為全球第五大智能手機供應商。
3 :
GS(14)@2014-09-09 12:02:26http://hk.apple.nextmedia.com/news/art/20140908/18859468
【本報訊】小米手機再爆洩密疑雲,經常被監聽的泛民及社運界人士,對國產手機更加避之則吉。活躍社運的民主黨區議員區諾軒指出,自小米上月被揭發會上傳資料到北京後,早有黨友在WhatsApp群組內提醒他們「小心小米」。
區坦言,自己向來不使用國產手機及WeChat等國產Apps,「已經有好幾個IT朋友同我講,呢啲國產嘅(程式)會有監控」。社民連副主席吳文遠表示,認識的黨內或社運界朋友均沒有人使用小米手機,「大家對呢方面都好警覺」。
[■吳文遠稱黨內朋友均沒人用小米手機。] ■吳文遠稱黨內朋友均沒人用小米手機。
最驚被偷WhatsApp內容
人民力量副主席甄燊港是小米手機用戶,他說「正考慮停用」。他稱自己的小米手機是由女兒贈送,「千幾蚊,真係好平」,但近月不斷有朋友勸告他停用,「偷聽講電話就唔怕,我有重要事都會見面先講,反而最驚俾人偷到WhatsApp內容」。
4 :
GS(14)@2014-09-09 12:02:42http://hk.apple.nextmedia.com/news/art/20140908/18859464
【本報訊】手機廠商透過收集及銷售包含用戶資料等「大數據」(Big Data),原來這方面的盈利,隨時較單純銷售手機硬件更高。政府部門也能利用這些數據對市民進行全面監控。
Nexusguard Consulting行政總裁龐博文解釋,廠商要收集智能手機用戶的資料,可從四方面着手。先從插入手機內的電話卡,得知用戶的電話號碼及日常撥出的電話號碼。
其次手機硬件內也可以預設資料的傳送路徑,以便中途截取經手機傳出的資料;透過手機作業系統的電話簿等功能,從中得知用戶的社交圈子及個人檔案。
最後監控手機內的Apps,例如facebook及WhatsApp等,用戶的日常生活習慣及行為言論,也可知得一清二楚。
中國「私隱法」阻嚇力不足
龐博文指出,綜合以上資料,「用家成個full picture都睇晒」,政府部門也可藉此對個別人士進行全面監控。而廠商掌握一定數量的用戶資料後,便可集結成大數據,從中分析出市民特定行為、喜好及商業趨勢等,「呢啲資料先最值錢,賺錢過賣手機硬件」。
他稱要使用智能手機,無可避免會被收集資料,故各地訂立的私隱條例才是重點。以美國為例,條例有要求企業收集資料前,須知會用戶及披露收集內容;歐洲各國更加嚴謹,「(用戶資料)儲存地點、時間、用途,都明文規定要公開,甚至連最後銷毀資料嘅方法都要披露埋」。
台灣也有清楚說明個人資料的定義,市民的性傾向、性生活以及社會活動等資料,也包括在保護範圍內,違規者須向受影響人士賠償最高2億元新台幣。
至於中國「私隱法」,即《電信和互聯網用戶個人信息保護規定》,自去年9月才實施,但罰則只由1萬至3萬元不等,阻嚇性成疑。
5 :
GS(14)@2014-09-09 12:03:03http://hk.apple.nextmedia.com/news/art/20140908/18859462
【本報訊】原廠小米手機內置「小米應用商店」,功能與Android手機的「Google Play Store」一樣,設有各種熱門Apps(應用程式)供用戶下載,但這些Apps疑已被做手腳改裝。用戶使用這些應用程式時,資料會傳送到內地伺服器。
小米手機分中國版本及香港/國際版本。由於資訊審查,中國版沒有Google Play服務,小米於是自行開發小米應用商店取代,內裏收集有facebook、WhatsApp等熱門Android Apps,還包括一些Google Play上的收費Apps,全供免費下載,吸引不少香港版用家使用。
傳至9個伺服器
資訊安全公司Nexusguard Consulting測試過小米應用商店內的Apps,發現這些Apps會連接中國內地伺服器。例如在Google Play下載的官方WhatsApp,用戶發短訊時,資料內容只會經過Google及WhatsApp的美國伺服器,再傳到目標用戶的手機。但在小米應用商店下載的小米版WhatsApp,則疑被人預先修改,發短訊時資料會傳到九個中國伺服器。
根據IP資料,九個伺服器分別屬於中國聯通、北京森華易騰通信技術有限公司及北京藍訊通信技術有限責任公司,分別位處北京及廣州。中國聯通是國企,主打電訊服務;北京森華易騰主要經營互聯網數據中心及網絡安全服務,也會向其他公司提供收集大數據(Big Data)等服務。小米應用商店上的Apps,外觀與Google Play的官方Apps無分別。惟記者發現小米版Apps的檔案普遍較大。以WhatsApp及facebook為例,小米版與官方的程式版本相同,但小米版的檔案大小為15.3MB及13.67MB,官方則只有14.59MB及13.66MB。另現時Google play上的官方facebook App,版本為15.0;小米版卻已去到17.0,比官方還要「新」。