- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
专家实测 小米手机偷传资料到北京服务器?
录入:edatop.com 点击:
接着测试,翁浩正打开安全中心,发现资料回传到pmir.3g.qq.com伺服器,但因为资料内容加密,无法得知传送内容为何。开机不久,他也从手机中看到,系统连线至小米位于北京的伺服器 223.202.68.9 (out68-9.mxzwb3.hichina.com),也不知道传送什么资料。在系统输入文字时,会传送至「友盟 umeng」收集使用者资料以及统计数据(https://www.umeng.com/app_logs),但不知道传送内容为何。
翁浩正测试红米机时,发现很多连回小米服务器的封包记录,但他说,连线内容加密,加上很难确定哪个程式有无恶意或在传送什么资料,因此要检测一个手机是否有恶意程式,需要数个月时间来分析App、系统、底层。就他简单测试,只能知道红米手机有「收集」的事实。
戴夫寇尔执行长翁浩正测试红米手机时表示,平常很少见到会回传应用程式清单,这是他测试时最大的不解。不过,小米官方则回复,主要是使用者启用云备份,未来供换新手机时,直接下载使用。
小米官方回复,一切都是正常连线且不涉及个人隐私
小米官方回复指出,手机一开机后的连线行为,是为了回传IMEI确认是否为正货,并确认该号码是否申请过小米帐号;而传送简讯时,要验证手机号码,是为了确认双方都是小米手机,才能使用网路简讯;登录小米云服务所回传的资料,则是依照使用者设定,才能同步使用者手机资料。而回传应用程式清单,臺湾小米官方答复,主要是使用者开启小米云备份功能,会同步使用者下载App,当使用者换新手机时,可以直接由云备份直接下载即可。
小米官方表示,未经用户允许,不会主动上传涉及使用者隐私的个人资讯和资料,而其他包含个人隐私的个人资料、照片、简讯等,预设都是关闭相关网路服务,需要使用者主动开启,也可以随时关闭。若是网路服务需要连回总公司伺服器验证,所传输的资料都不涉及使用者隐私。
工业局和NCC将成App资安验证双主管机关
台湾资通安全办公室主任萧秀琴指出,在今年6月「资通安全会报第26次委员会议纪录」的讨论案中便决议,未来手机内建的App一律由NCC负责管理,若是一般在各种软体市集下载的手机App,则由工业局负责。她说,当职权分工确立后,相关部会就可以针对职掌,各自制定相关的检测办法,并鼓励手机厂商自主检测。
NCC(通讯传播委员会)科长谢志昌表示,因为目前手机App检测并没有法源的强制力,也没有一个共通的国际标準,等到NCC推出手机内建App自选性检测项目出炉后,届时NCC便会鼓励手机厂商参与自愿性检测,也允许通过检测的厂商,可以据此宣称该手机符合政府相关资安检测,希望能形成一种厂商之间的正面循环,也对消费者有益。
工业局通讯科承办人员简大超则表示,目前相关的手机下载App资安检测的内容与方式,还在内部进行讨论中,等到内部讨论有初步共识后,才会进行后续的委外研议。究竟什么时候有成果,目前还没有定论。
