為了檢證紅米手機是否真的會把用戶資料回傳小米北京總公司伺服器,iThome找來資安專家實機測試。結果發現,不論是全新的紅米手機,或者是使用一陣子的紅米手機,都有類似現象。

iThome聯繫資安公司芬安全(F-Secure)馬來西亞亞洲實驗室,實際採購2款小米機第三代以及紅米機1s進行開箱後的實測,為了確保手機「乾淨」,並未安裝或連接小米雲服務,只有開機並且插入電信公司的SIM卡後,之後就連接到芬安全實驗室的無線AP。

全新紅米手機剛啟用並連上Wi-Fi時,紅米手機就已經會自動將手機的SIM卡電話號碼以及手機序號IMEI碼的資料回傳小米手機的北京伺服器,而且過程中都以明碼傳送。收發簡訊時,小米手機會把接收簡訊者的電話號碼回傳小米手機北京伺服器。啟用小米雲服務時,紅米手機會連回小米手機北京伺服器,並回傳國際行動用戶辨識碼(IMSI)、手機序號(IMEI號碼)和電話號碼。

圖片來源:小米官網

戴夫寇爾資安研究員岑志豪表示,一般手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼。

國家通訊傳播委員會(簡稱NCC)科長謝志昌表示,因為目前手機App檢測並沒有法源的強制力,也沒有一個共通的國際標準,等到NCC推出手機內建App自選性檢測項目出爐後,屆時NCC便會鼓勵手機廠商參與自願性檢測,也允許通過檢測的廠商,可以據此宣稱該手機符合政府相關資安檢測,希望能形成一種廠商之間的正面循環,也對消費者有益。

經濟部工業局通訊科承辦人員簡大超則表示,目前相關的手機下載App資安檢測的內容與方式,還在內部進行討論中,等到內部討論有初步共識後,才會進行後續的委外研議。究竟什麼時候有成果,目前還沒有定論。

資料來源;iThome

(app01)

#手機 #小米 #紅米 #資安