OpenRay手記:手機蒐集用家資料易如反掌

小米手機上傳用戶資料包括手機號碼、IMEI號碼、電訊商名稱、聯絡人電話等,只是手機私隱安全問題的冰山一角而已。

事實上,手機儲存大量個人資料,無論是手機製造商、作業系統供應商或手機軟件公司,要在手機上蒐集使用者資料上傳,實在易如反掌。

今次小米手機被發現上傳手機號碼、IMEI號碼等資料,都是以明碼傳送,並沒有進行數據加密,因此才輕易被測試者檢查出來。

事實上,如果小米有心「竊取」資料,應該先把這些敏感資料先進行數據「打包」或加密,然後才上傳出去。這樣做的話,即使要查,也不容易查到手機所上傳的是甚麼資料。

舉例說,另一間資訊保安公司戴夫寇爾測試一部已經正常使用的紅米手機,發現手機會定期上傳所安裝的應用程式清單到小米主機。手機上傳應用程式清單,估計是用於統計或市場研究用途,用戶毋須太擔心。但未經用戶同意便上傳有關資料,一樣有侵犯私隱問題。

此外,當打開安全中心,手機便會上傳資料到QQ.com的伺服器,但因為資料內容被加密,因而無法得知所傳送內容。

開機不久後,手機又連線至小米的北京伺服器,也不知道傳送甚麼資料。在系統輸入文字時,該手機又會傳送資料到「友盟Umeng」。

由此可見,手機頻繁地上傳用戶資料,部分數據又被加密,難以知道上傳的是甚麼資料,也無法判斷這樣做是否有惡意。

用戶要保障自己的手機私隱,極不容易。

電郵:ray@openrice.com

鍾偉民(Ray)‧飲食網站創辦人