l****z
发帖数: 29846 | 1 资讯安全专家发现,早前被揭发擅自上传用户资料到北京伺服器的国产小米手机,虽然
生产商已经就事件道歉并更新程式堵塞漏洞,但手机资讯仍然自动频密外泄,接收的伺
服器这次不在北京,而在新加坡一个身份不明的租用伺服器
苹果日报委托资讯保安专家杨和生及资讯安全公司Nexusguard进行测试,发现更新后的
红米1S,即使在静止状态,每隔半小时便会自动上传手机资料到新加坡一个租用的伺服
器。小米回应称,与伺服器连线只为客户更新日历、天气等系统,不涉私隐。业界与专
家直指情况不寻常,有泄漏客户私隐之嫌。
上月有电脑保安公司发现,小米3及红米1S两款手机会将用家的手机序号及电话号码,
传送到小米位于北京的伺服器;而以手机发送短讯时,更会连接收短讯者的电话也传到
同一伺服器。事后小米发声明道歉,并向用户提供OTA更新包,指已解决有关问题,声
称安装后便可“安心使用”。该更新包适用于所有小米手机。
苹果日报于是委托互联网协会网络保安及私隐小组召集人杨和生,为香港版红米1S手机
进行为期13天的监察测试;供测试的红米是全新机,开封后立即连接由杨设立的WiFi网
络,以便监察手机有否向互联网发放资料。
监察期间,手机一直维持闲置状态,只会偶尔进行拍照或新增通讯录等不涉及上网等动
作,也没有登记及开启任何云端或互联网服务。
专家发现,红米手机在未安装更新包前,每日早上会自动将手机资料上传到北京伺服器
。根据IP,伺服器登记者为“北京蓝讯通信技术有限责任公司”,该公司主要从事中国
互联网传输工作,为不少政府部门及国企提供服务;今年5月更与官媒人民网在北京合
作设立数据中心。
至于被红米上传的手机资料,全数被加密,杨和生暂未能破解。但由于上传的档案大小
由893B至30KB不等,杨认为不寻常,以此估计,被传送的有可能包括通讯录在内等文字
资料。
报导指,其后杨再为红米安装声称已堵塞漏洞的OTA更新包,发现手机已没有再将资料
传到北京,但就改为每隔半小时自动将手机资料上传到位于新加坡的Amazon伺服器。同
样,上传的资料也被加密,档案大小由143B至4KB不等,较更新前细,有点像大的档案
被拆小,然后分批传送,因此上传时间频密,“同样是极不寻常”。
报导又指,该Amazon伺服器,属公开的云端伺服器,可供任何人士租用,除了可作一般
资料贮存外,租户也可以加装运算程式。业内人士指出,该伺服器方便隐藏身份,近年
吸引不少网络黑客租用。
报导指,最后记者委托资讯安全公司Nexusguard Consulting,将红米手机的原厂作业
系统(Rom)全数删除,重新安装由中国第三方人士设计的作业系统,再以同一方法监
察手机活动,结果发现红米手机已没有上传资料到北京蓝讯或Amazon新加坡的伺服器,
改为每日一次将资料上传到设计者的伺服器。换言之,之前传送用户资料到小米的伺服
器,是小米在手机所安装的系统造成。
报导引述小米科技回应称,安装更新包后,已经不会再传输用户的个人资料到小米伺服
器;至于手机与小米伺服器的连线,内容包括日历、天气、软件更新及系统提醒等互联
网服务,并不涉及用户私隐。
不过,香港资讯科技商会荣誉会长方保侨认为,红米手机的上传动作“不正常”。他指
一般手机有可能会上传系统资料到伺服器,“但频率不会如此频密”。方保侨又称,一
般新机如没有申请或开启服务,却出现大量自动上传动作,让人怀疑别有内情,促小米
尽快澄清事件。 |
c****p
发帖数: 6474 | 2 没有实质性的东西,完全是捕风捉影的暗示和误导:
1.之前那个公司为很多国企服务,所以小米手机传资料一定和中国政府有关。
2.Amazon的服务器有很多黑客在用,小米手机一定和中国政府雇佣的黑客有关。
3.半小时一次,每次文件很小,所以一定是把很大的东西分成很小的文件多次传输。 |
l****z
发帖数: 29846 | 3 人家说一定了嘛? 人家只是说不寻常吧. 你找个其他牌子的phone也这么干的?
【在 c****p 的大作中提到】
: 没有实质性的东西,完全是捕风捉影的暗示和误导:
: 1.之前那个公司为很多国企服务,所以小米手机传资料一定和中国政府有关。
: 2.Amazon的服务器有很多黑客在用,小米手机一定和中国政府雇佣的黑客有关。
: 3.半小时一次,每次文件很小,所以一定是把很大的东西分成很小的文件多次传输。
|
c****p
发帖数: 6474 | 4 人家没说一定啊,这就是这种文章高明/恶心的地方,说一堆似对非对的话,不给结论
,就是引导你往那个他希望的预设立场的结论上想。其实它说的那些看起来的话和它试
图引导的事实之间有强联系么?
文章里那个用来对比的“干净”的系统,也同样往设计者那儿发资料。
而且吧,我觉得吧,android的手机没有哪个不发的。国内的手机用不上google
service frame,所以发哪儿都是自定制的。
用google service frame,你的联系人信息都是直接和gmail之类的挂在一起的,
google都知道。
我上new egg搜个显卡然后用google ad服务的网站就弹我搜过的显卡的广告。
你说google这么干寻常嘛?人家是明目张胆地拿你的私人信息。
【在 l****z 的大作中提到】
: 人家说一定了嘛? 人家只是说不寻常吧. 你找个其他牌子的phone也这么干的?
|
l****z
发帖数: 29846 | 5 哈哈, 你用google做例子做的好.
现在大家不都是在痛骂google嘛? 所以也应该痛骂小米啊.否则不是有点双重标准和人
格分裂?
再说,google和小米同样搜集数据, 你希望是被google搜集呢, 还是被小米搜集?
【在 c****p 的大作中提到】
: 人家没说一定啊,这就是这种文章高明/恶心的地方,说一堆似对非对的话,不给结论
: ,就是引导你往那个他希望的预设立场的结论上想。其实它说的那些看起来的话和它试
: 图引导的事实之间有强联系么?
: 文章里那个用来对比的“干净”的系统,也同样往设计者那儿发资料。
: 而且吧,我觉得吧,android的手机没有哪个不发的。国内的手机用不上google
: service frame,所以发哪儿都是自定制的。
: 用google service frame,你的联系人信息都是直接和gmail之类的挂在一起的,
: google都知道。
: 我上new egg搜个显卡然后用google ad服务的网站就弹我搜过的显卡的广告。
: 你说google这么干寻常嘛?人家是明目张胆地拿你的私人信息。
|
G****e
发帖数: 11198 | 6 小米是你家,google是我家,两家吵来吵去。哈哈 |
c****p
发帖数: 6474 | 7 但是这篇文章把其实很寻常(因为几乎人人都在后台传数据)的事情说成不同寻常不是
很奇怪么?
而且这文章更奇怪的地方在于试图把小米的后台数据和“中国政府”“黑客”联系起来。
amazon的服务器很多美国有名的、形象良好(或者不好)的公司也都在用,
文章为什么偏偏要提黑客在用amazon?
手机后台传数据这事儿有啥好“踢爆”的……稍微有点儿常识的人都知道吧……
【在 l****z 的大作中提到】
: 哈哈, 你用google做例子做的好.
: 现在大家不都是在痛骂google嘛? 所以也应该痛骂小米啊.否则不是有点双重标准和人
: 格分裂?
: 再说,google和小米同样搜集数据, 你希望是被google搜集呢, 还是被小米搜集?
|
l****z
发帖数: 29846 | 8 手机后台传数据这事儿有啥好“踢爆”的……稍微有点儿常识的人都知道吧
===============================
你看原帖了嘛? 小米都回应说以后不会再传输用户个人资料到他们的server上了. 如果
传输个人资料这个情况象你说的属于很正常的情况,那为什么小米不象你这么回应呢?
"报导引述小米科技回应称,安装更新包后,已经不会再传输用户的个人资料到小米伺
服器;至于手机与小米伺服器的连线,内容包括日历、天气、软件更新及系统提醒等互
联网服务,并不涉及用户私隐"
来。
【在 c****p 的大作中提到】
: 但是这篇文章把其实很寻常(因为几乎人人都在后台传数据)的事情说成不同寻常不是
: 很奇怪么?
: 而且这文章更奇怪的地方在于试图把小米的后台数据和“中国政府”“黑客”联系起来。
: amazon的服务器很多美国有名的、形象良好(或者不好)的公司也都在用,
: 文章为什么偏偏要提黑客在用amazon?
: 手机后台传数据这事儿有啥好“踢爆”的……稍微有点儿常识的人都知道吧……
|
c****p
发帖数: 6474 | 9 手机后台传数据也并不只包括个人隐私。还是那话,这文章居然还好意思拿一个同样会
联系设计者的ROM做对比。
关于个人资料的回应,没有哪家企业会像Google NB到我就是拿你的用户信息了,有本
事别用(苹果好一点,但是因为苹果的平台是他赖以生存的家活事儿)。而且说自己不
会再做了,不涉及友商和竞争对手,是影响面最小的做法。
你觉得小米为什么不这么回应,所以肯定有问题,本身就已经中了这文章的套了。
【在 l****z 的大作中提到】
: 手机后台传数据这事儿有啥好“踢爆”的……稍微有点儿常识的人都知道吧
: ===============================
: 你看原帖了嘛? 小米都回应说以后不会再传输用户个人资料到他们的server上了. 如果
: 传输个人资料这个情况象你说的属于很正常的情况,那为什么小米不象你这么回应呢?
: "报导引述小米科技回应称,安装更新包后,已经不会再传输用户的个人资料到小米伺
: 服器;至于手机与小米伺服器的连线,内容包括日历、天气、软件更新及系统提醒等互
: 联网服务,并不涉及用户私隐"
:
: 来。
|
i***l
发帖数: 9994 | 10 现在这个社会,你用电脑,用智能手机,用着这么多免费apps,你还想要privacy?天
下没有免费的午餐。
我还在用dummy phone,同志们。你们说的这些数据传输,爱谁谁,和我无关,哈哈哈
。 |
l****z
发帖数: 29846 | 11 所以你的意思就是小米也知道拿个人信息不对? 如果这样那这篇文章也没说错什么嘛.
小米自己也承认拿个人信息了嘛.
如果小米没有拿的话,直接就说自己没有拿就是了,而不会说装了补丁后就不会传信息这
种话了, 是不是?
我说他怎么反应是要证明小米也知道它当初拿个人信息这件事不对,而且是被抓到现行.
而不是你上面那个贴说的什么传点信息也没事的情况.
【在 c****p 的大作中提到】
: 手机后台传数据也并不只包括个人隐私。还是那话,这文章居然还好意思拿一个同样会
: 联系设计者的ROM做对比。
: 关于个人资料的回应,没有哪家企业会像Google NB到我就是拿你的用户信息了,有本
: 事别用(苹果好一点,但是因为苹果的平台是他赖以生存的家活事儿)。而且说自己不
: 会再做了,不涉及友商和竞争对手,是影响面最小的做法。
: 你觉得小米为什么不这么回应,所以肯定有问题,本身就已经中了这文章的套了。
:
:
|
c****p
发帖数: 6474 | 12 这么说吧,拿个人信息这事儿,很敏感,但是并不一定是不对的。
而且我说的是,后台传信息,并不仅限于个人信息——而且这很普遍(连那个用来做比
较的那个“干净”ROM也会联系设计者)。
这次“再被踢爆”,也没有任何确凿证据表明小米就是未经用户同意而拿的个人信息(
比如可能是非个人信息,还比如默认是打开、但是可以关掉的位置信息以及用户体验改
进计划这种可能包含个人信息的数据),
列出来的黑客啊中国政府合作伙伴啊都是捕风捉影。
.
行.
【在 l****z 的大作中提到】
: 所以你的意思就是小米也知道拿个人信息不对? 如果这样那这篇文章也没说错什么嘛.
: 小米自己也承认拿个人信息了嘛.
: 如果小米没有拿的话,直接就说自己没有拿就是了,而不会说装了补丁后就不会传信息这
: 种话了, 是不是?
: 我说他怎么反应是要证明小米也知道它当初拿个人信息这件事不对,而且是被抓到现行.
: 而不是你上面那个贴说的什么传点信息也没事的情况.
|
