小米手机“窃取”海外用户隐私?官方公开道歉

0820351616159128489

小米在香港和台湾市场遭遇了一场隐私争议,因为涉及用户隐私上传而愈演愈烈。

事件起于7月20日。有媒体报道,香港红米Note用户发现自己的手机一开机就会把所有的个人资料持续和北京服务器“连线”,此事一经曝光,随即被各大媒体疯传,引发了媒体和用户对小米手机隐私保护的担忧。随后,香港媒体unwire获得了小米官方的回应澄清此事(小米又把这则声明发布在了其香港Facebook页面上),以下是回应全文:

xiaomi claim

从这个回应可以看出,小米声明,这些都是“小米账户”和“小米云服务”中“不涉及用户隐私的互联网服务”,只是推荐短信、主题、MIUI的OTA升级包等内容,这些数据仅仅是需要连接到总公司的服务器进行验证。而且,小米云服务是可选的,用户可以随时开关。

不过,8月8日,来自安全软件公司F-Secure的一份测试报告显示,即使在小米账户和云服务没有开启的情况下,小米手机也会将部分用户数据传输到其服务器上。

F-Secure位于马来西亚的实验室选择了一台未拆封的红米1s手机进行测试,这台手机并没有经过任何设置(即没有开启小米云服务)。然后,他们通过了以下步骤去测试小米的数据连接:

  1. 插入SIM卡
  2. 连接到F-Secure自己的无线网络(可以检测封包数据)
  3. 允许GPS位置服务
  4. 新增一个联系人到通讯录
  5. 分别发送和接受一个短信和彩信
  6. 拨打/接听电话

F-Secure发现,手机在启动时就会发送用户正在使用的运营商名称、手机的IMEI(国际移动身份识别码)和电话号码(包括通讯录中的和短信的来源号码)到api.account.xiaomi.com这样一个服务器地址。而他们打开了小米云服务重复了以上步骤,发现这一次还包括了IMSI(国际移动用户识别码,international mobile subscriber identity)。

xiaomi_data

另外,手机还会把已经安装的应用程序名单传送到policy.app.xiaomi.com服务器,F-Secure称,这是手机厂商很少有的做法。

F-Secure称,这只是一次为了验证小米是否会传输用户资料的简单测试,其亚太区资讯安全顾问吴树谦表示,并不能判断这些资料传输是否出于恶意。

在F-Secure的报告发出后,小米通过Hugo Bara和官方的Facebook页面同时发布了一份中英双语声明,对此事公开道歉。小米承认,F-Secure报告中所指的是“网络短信”服务,手机开机后会通过小米服务器和IP通讯协定自动开启。而“网络短信”和其它类似的免费即时通讯服务相仿,使用手机的唯一识别码(比如手机号码、IMSI和IMEI)对应后提供两台设备之间的资料传输。小米明确表示,在这个过程中,用户的电话号码、通讯录等信息,都不会存储在小米的服务器上,而且都是加密传输的。不过,小米并没有对上传应用程序名称的行为做出解释。

随着声明的发布,小米紧急进行了一次OTA的系统更新推送,默认关闭了这项服务,用户只有在系统设置和短信应用中才能打开。

注意,你可以在小米的隐私协议中查看小米关于此类服务的规定。

附:小米本次声明原文

xiaomi

 

注:题图来自网络

订阅更多文章