臺(tái)媒雇安全公司實(shí)測(cè)紅米“偷偷”回傳資料

【TechWeb報(bào)道】8月8日消息，臺(tái)灣iThome網(wǎng)站（www.ithome.com.tw）日前發(fā)布了一篇名為《小米手機(jī)偷傳資料到北京？iThome找資安專家實(shí)測(cè)：有》的文章，該文章稱，就此前紅米回傳用戶信息至北京的消息，信息安全公司芬安全（F-Secure）馬來(lái)西亞亞洲實(shí)驗(yàn)室對(duì)紅米手機(jī)進(jìn)行了實(shí)測(cè)，實(shí)測(cè)的結(jié)果是“確實(shí)發(fā)現(xiàn)紅米手機(jī)有資料回傳小米北京總公司伺服器，不論是全新的紅米手機(jī)，或者是使用一陣子的紅米手機(jī)，都有類似現(xiàn)象”。

以下為臺(tái)灣iThome網(wǎng)站原文摘要：

iThome找來(lái)資安專家實(shí)機(jī)測(cè)試日前傳出資料回傳中國(guó)風(fēng)波的紅米手機(jī)。檢測(cè)過(guò)程中，確實(shí)發(fā)現(xiàn)紅米手機(jī)有資料回傳小米北京總公司伺服器，不論是全新的紅米手機(jī)，或者是使用一陣子的紅米手機(jī)，都有類似現(xiàn)象。

芬安全實(shí)測(cè)全新紅米機(jī)，剛開(kāi)機(jī)連網(wǎng)就回傳手機(jī)序號(hào)和手機(jī)號(hào)碼

iThome聯(lián)系資安公司芬安全（F-Secure）馬來(lái)西亞亞洲實(shí)驗(yàn)室，實(shí)測(cè)兩款全新紅米機(jī)與小米機(jī)，從7月31日～8月6日以將近一周的時(shí)間，每個(gè)環(huán)節(jié)都經(jīng)過(guò)資安實(shí)驗(yàn)室人員2～3次的反覆測(cè)試，得出以下的結(jié)果。

芬安全亞洲區(qū)資安顧問(wèn)吳樹(shù)謙表示，中低價(jià)位的中國(guó)品牌智慧型手機(jī)小米手機(jī)，近期在馬來(lái)西亞也非常熱門(mén)，以每周只在網(wǎng)路上銷售1萬(wàn)支的饑餓行銷手法，不僅帶動(dòng)高知名度，也成為馬來(lái)西亞熱門(mén)手機(jī)品牌。

芬安全實(shí)際采購(gòu)2款小米機(jī)第三代以及紅米機(jī)1s（RedMi1S）進(jìn)行實(shí)測(cè)，主要是希望厘清，許多媒體報(bào)導(dǎo)小米公司手機(jī)搜集過(guò)多資訊并回傳小米北京總公司的說(shuō)法，是否為真。

首先，芬安全為了確保測(cè)試結(jié)果沒(méi)有受到其他環(huán)境的干擾，便在馬來(lái)西亞當(dāng)?shù)夭少?gòu)小米機(jī)與紅米機(jī)各一支，進(jìn)行開(kāi)箱后的實(shí)測(cè)。他說(shuō)，剛開(kāi)始，為了確保手機(jī)「干凈」，并未安裝或連接小米云服務(wù)，只有開(kāi)機(jī)并且插入電信公司的SIM卡后，之后就連接到芬安全實(shí)驗(yàn)室的無(wú)線AP。

吳樹(shù)謙指出，在手機(jī)插入SIM卡、連上Wi-Fi并啟動(dòng)時(shí)，芬安全實(shí)驗(yàn)室發(fā)現(xiàn)，實(shí)測(cè)的紅米手機(jī)1s會(huì)連上小米手機(jī)某臺(tái)伺服器（api.account.xiaomi.com），并且回傳手機(jī)序號(hào)IMEI碼和插入SIM卡的手機(jī)號(hào)碼到該伺服器。

之后，芬安全亞洲實(shí)驗(yàn)室允許紅米手機(jī)使用GPS定位服務(wù)，并添加一個(gè)新的聯(lián)系人到電話簿，然后進(jìn)行發(fā)送和接收簡(jiǎn)訊以及多媒體簡(jiǎn)訊測(cè)試，也測(cè)試打電話與接聽(tīng)電話。

吳樹(shù)謙表示，在測(cè)試時(shí)發(fā)現(xiàn)，在新增手機(jī)通訊錄聯(lián)絡(luò)人并發(fā)送簡(jiǎn)訊后，測(cè)試的紅米手機(jī)會(huì)把接收簡(jiǎn)訊者的手機(jī)號(hào)碼，同樣轉(zhuǎn)發(fā)到該伺服器中。

接下來(lái)，芬安全亞洲區(qū)實(shí)驗(yàn)室啟用并登錄小米云服務(wù)，然后重復(fù)同樣的測(cè)試步驟。此時(shí)，則發(fā)現(xiàn)，受測(cè)紅米手機(jī)的國(guó)際行動(dòng)用戶辨識(shí)碼（IMSI）資訊，及手機(jī)序號(hào)IMEI號(hào)碼和電話號(hào)碼，都傳送到api.account.xiaomi.com伺服器。

而測(cè)試收發(fā)簡(jiǎn)訊時(shí)，芬安全也發(fā)現(xiàn)，小米手機(jī)會(huì)把接收簡(jiǎn)訊者的電話號(hào)碼回傳小米手機(jī)北京伺服器。

最后測(cè)試啟動(dòng)小米云服務(wù)時(shí)，紅米手機(jī)會(huì)連回小米手機(jī)北京伺服器，并回傳國(guó)際行動(dòng)用戶辨識(shí)碼（IMSI）、手機(jī)序號(hào)（IMEI號(hào)碼）和電話號(hào)碼，也都會(huì)傳送到api.account.xiaomi.com伺服器。