一直以來,均有不少流言指大陸山寨手機,出廠時已預載木馬等惡意程式。亦有用家曾在不知情下,被濫收高昂的SMS短訊費用,及後才發現原來是手機內附惡意程式作怪。
過去,市民普遍以為這些山寨手機所預載的惡意程式,主要目的為以不法手段謀利。然而更嚴重的,是早前有台灣媒體指出,這些智能手機會在背後默默將用戶的詳細信息,傳送到遠程的伺服器。也就是說,智能手機用戶的一切通話、實時訊息,以至在手機上發送的電郵等私人通訊記錄,將全數回傳至大陸的伺服器。
更叫人震驚的,是預裝有泄漏私隱嫌疑應用程序的智能手機當中,包括了無論在大陸或香港均大受歡迎的小米手機。
F-Secure保安實驗室應邀就此傳言查證,於是取得一台全新的RedMi 1S。由於進行保安實驗測試的手機,為全新開箱,因為並未完成任何設置,或連接小米雲服務,以確保受感染的外來因素降至最低。手機開箱後,F-Secure保安實驗室通過以下步驟開始保安測試:
插入SIM卡
連接到wifi無線網絡
允許GPS定位服務
新增一個聯繫人到電話簿
分別發送和接收一個SMS和MMS
致電和接聽電話
保安測試人員發現,在手機起始啟動時,手機會發出用戶正使用的電訊公司名稱,到一個伺服器api.account.xiaomi.com。手機並會自動發出IMEI和電話號碼,到該同一台服務器。然剛新增到電話簿的聯繫人電話號碼,和測試的接收短訊,也會被轉發。接下來,保安測試人員連接並登錄到小米雲(小米專屬,猶如iCloud的服務),然後重複之前同樣的測試步驟。此時,該IMSI訊息被送到api.account.xiaomi.com,連帶IMEI和電話號碼也被一併傳送。F-Secure保安實驗室強調,這僅屬快速測試,以查證傳言中小米手機發送私隱訊息的行為是否屬實。
有關測試報道一出,小米方面迅速作出回應,向公眾道歉並承諾將盡快發放系統更新檔,將原來預設開啟的功能,改為用戶啟動才會生效。小米上周確已發放系統更新檔,然而亦有不少網民在網上討論區中表示,其更新檔無效。於是F-Secure保安實驗室跟進此事,下載並安裝系統更新檔,並於同樣的設定下作出跟進測試。
首先,保安測試人員將小米手機回復出廠設定,並作重新啟動時,發現原先預設為「開啟」的雲訊息已經轉為「關閉」。然後,保安測試人員再次依照上次同樣的設定進行測試:
新增新一聯絡人
發出並接收一個sms訊息
撥出電話及接收電話
這次,保安測試人員並未發現任何資料由電話傳出。接著,當保安測試人員啟動雲訊息功能,和小米雲的時候,即發現傳送至https://api.account.xiaomi.com 的資料,已經過base-64 加密。F-Secure大中華及南韓區區域總監李力恆表示,樂見小米手機在是次保安事件上,作出快速回應,並成功將有關私隱問題解決。
沒有留言:
發佈留言