此前小米/红米手机自动上传用户资料到北京服务器一事闹得沸沸扬扬,甚至已经被台湾和新加坡的有关部门请去“喝茶”。虽然小米方面已经作出回应并且放出了相关的OTA补丁,不过有网友发现还是有后台服务自动连到北京。于是,之前验证小米自动回传资料的安全厂商F-Secure这次再度对打了补丁的小米手机进行测试。

首先讲讲这个补丁的内容,一方面是关闭网络免费短信服务的自动启动并上传资料功能,用户可自行开启;另一方面是对上传资料进行加密处理,此前这些资料都是通过明文发送的。

F-Secure在手上的小米手机上安装了这个OTA补丁,并进行恢复出厂设置,确认原来的免费短信功能默认为关闭状态,然后根据之前的方法再次进行测试,过程是新增联系人、发出并接收一条短信、拨出及接听电话。此后继续开启免费短信并重复以上过程进行测试。

从结果来看,一方面在免费短信默认关闭状态下,小米手机确实是没有任何资料被回传出去了,另一方面也确认在开启状态下回传的资料也是经过base64编码后再通过https安全通道传送。

不过台湾媒体T客帮在他们今天的报道中写到,F-Secure有关负责人认为,虽然小米表态认错了,但是还没有说明这些资料的目的和原因(其实小米说过是用于识别通讯双方是否有使用免费短信的资格),而且这些云端上的资料如果没有被妥善保管也是很危险的。

另外其实很多手机以及应用也会上传资料,不过收集的都只是使用过程的数据,而且也都有事先询问用户(p.s.当年iCloud曾经因为没有询问过用户私自上传而被指责)。 阅读原文 »

2 收藏


直接登录

推荐关注