F-Secure保安實驗室應台灣傳媒邀請,測試小米手機是否有私隱安全問題。測試發現,該品牌的手機在未經用戶同意下,上傳手機號碼、IMEI號碼、電訊公司名稱,以及收發短訊時的聯絡人電話號碼等,似乎完全無視用戶的個人私隱。
為甚麼手機未經用戶同意,卻取用如此多的用戶私隱資料?以陰謀論的角度看,記錄手機的IMEI號碼,再配合電訊公司的名稱和電話號碼,以後便可追蹤該手機用戶的一舉一動。如果得到電訊公司「配合」,電訊公司擁有機主的姓名、身份證號碼、地址等個人資料,加上IMEI號碼,便可以追蹤個別用戶的手機使用記錄,達致類似美國NSA稜鏡計劃的監控目的。
不過,如果沒有電訊公司的「配合」,單純記錄或追蹤一個電話號碼或IMEI機號,其實難以達到追蹤目的,也不算是洩露個人私隱。因為廠商取得用戶的手機號碼和IMEI機號,卻未能掌握用戶的個人資料,未算是侵犯個人資料私隱。
至於小米為甚麼要記錄IMEI、電訊公司,以至聯絡人電話號碼?該公司解釋,上傳IMEI是查證手機是否正版。而發短訊時上傳聯絡人的電話號碼,是用電話號碼查核對方是否也是小米用戶,若雙方都使用該手機平台,短訊便會以「網絡簡訊」來傳送,以網絡數據來傳送內容,可省卻發短訊的費用。
該公司已宣布推出升級包,令「網絡簡訊」功能不會自動啟動,同時解決未經用戶同意上傳手機資料等問題。保安專家對該公司的解釋仍未能完全釋疑,該手機是否有監控問題,實在信不信由你。
電郵:ray@openrice.com