日前芬蘭防毒軟件公司F-Secure的保安實驗室應台灣傳媒的邀請,測試小米手機是否有私隱安全問題。測試發現,一部全新的紅米1S手機在未經用戶同意下,上傳大量用戶數據到小米總部。這些數據包括手機號碼、IMEI號碼、IMSI號碼、電話簿內的聯絡人資料等,問題似乎頗為嚴重。
過去一直有傳小米手機會自動上傳用戶的個人資料上網,然而小米一直否認其事,指手機不會在未經用戶同意下,取用用戶的個人資料。在是次測試中,F-Secure保安實驗室使用一部全新的紅米1S手機,由插入SIM卡開始,然後連接Wi-Fi無線網絡,允許GPS定位服務,新增聯絡人到電話簿,然後發送和接收一個SMS和MMS,並致電和收聽電話,一步步測試該手機是否有上傳任何資料。
測試發現,當手機一啟動,手機已經向小米伺服器(api.account.xiaomi.com)發出用戶正使用的電訊公司名稱。然後手機還會自動發出IMEI和電話號碼到該伺服器。IMEI是手機的獨有識別號,加上電話號碼,可以讓伺服器追查個別手機,以及得知某用戶是否有開機。
之後研究人員把聯絡人新增到電話簿,並收發短訊。測試發現,聯絡人的電話號碼也被轉發。很明顯,該手機未經用戶同意下,不斷上傳個人資料,包括用戶自己及聯絡人的電話號碼等,不難令人疑慮手機有監控問題。
事件曝光後,小米已發布更新解決問題。但當你明知手機被監控,你是否還敢使用?
電郵:ray@openrice.com