在8月8日iThome找来资安专家实测,踢爆小米手机偷传资料到北京伺服器后,引起不少台湾民众对小米手机的批评声浪。小米公司第一时间仍信誓旦旦否认此事,辩称小米手机内建所有服务都会取得使用者同意后才搜集资料。直到踢爆事件2天后,也就是8月10日,小米发表声明,推翻了自己两天前的说法,坦言确实有一项服务「网路简讯」会「自动启动」回传手机号码到北京。
小米科技8月10日在官方粉丝团上发布紧急声明,证实的确有一个内建于小米手机作业系统内的「网路简讯」服务,在未经使用者同意的情况下,就会自动启动,将使用者的电话号码、IMSI(国际行动用户识别码)及IMEI码(国际行动装置识别码),回传到小米伺服器上。另外,小米也证实了透过这个网路简讯服务回传北京的使用者电话号码没有加密,而是采用明码传递。
因采明码发送,一般具备相当电脑能力的网管人员,利用网路监听工具可以在同一个网路环境中侧录到这只手机所发送的网路封包来取得真实电话号码,不需要经过破解。换句话说,过去用小米手机的民众,你的电话号码已经暴露在你所身处的网际网路上,例如你在咖啡厅用小米手机上网,若有人用网路监听工具侧录这个Wi-Fi的网路封包,就能偷到你的电话号码。或是在任何公共场所:机场,学校,办公室的网路环境都一样有被窃取手机号码的机会。
小米科技也在声明稿中向用户道歉,并如同先前还没被资安公司发现偷传资料前的说法,再次声明所有服务「未经用户允许,不会主动上传涉及用户隐私的个人资讯和资料。」但并未解释为何仍会被发现了有这个自动启动的「网路简讯」服务。
不过,小米科技也未有任何说明来解释资安专家发现的其他可疑资料传输行为,也有不少脸友纷纷在小米脸书专页这篇声明稿下方留言,质疑小米没有交代为何要将使用者手机上所有应用程式的清单回传。
评论