小米手機升級包解決資安疑慮了嗎？iThome再測結果出爐

圖片來源:

戴夫寇爾提供

iThome在8月8日揭露小米手機未經用戶允許，偷傳使用者的個人隱私資料至北京的伺服器，在廣大的輿論壓力下，小米終於在2天後公開認錯，釋出修正問題的OTA升級包，宣稱「網路簡訊」已經不再預設為開啟，並重申未經同戶允許，不會主動上傳涉及用戶隱私的個人資訊和資料。

此一OTA升級包是否真如小米所言解決了個人資料的安全問題？iThome再次委託相同的資安實驗室──資安公司芬安全（F-Secure）亞洲實驗室及臺灣資安公司戴夫寇爾（DevCore），以先前所測試的紅米1S手機，進行OTA升級後的第二波檢測。

在8月8日所揭露的小米手機第一波檢測結果中，幾個主要的爭議點包括手機首度開機連結網際網路後，即會自動將手機序號IMEI碼與手機號碼回傳小米北京的伺服器，而且是以無加密的明碼傳送；而在發送簡訊時，收發雙方的電話號碼也都會傳回小米的伺服器；此外，小米手機開機後，也會自動把使用者的應用程式清單完整傳回小米的伺服器。

為了要了解小米釋出的OTA升級包是否解決了上述的爭議，iThome再度委託芬安全（F-Secure）亞洲實驗室及臺灣資安公司戴夫寇爾（DevCore），以原先測試的相同紅米1S手機進行OTA升級，並以相同的程序進行測試。

測試結果顯示，小米已經修正了部分問題，然而資安專家也發現，更新OTA升級包後，仍舊有一些資安疑慮存在，並沒有徹底解決。

測試結果1：網路簡訊功能已改為預設關閉，資料傳輸已經加密

芬安全亞洲實驗室在8月11日至12日兩天，連續針對小米OTA升級包進行反覆測試，芬安全亞洲區資安顧問吳樹謙表示，他們採取與上次相同的測試程序，在相同的實驗室環境中，由同一群擅長分析惡意程式及具備逆向工程專長的資安研究員，實測紅米手機1S是否已經修改之前的問題。

芬安全的測試人員先以OTA升級紅米1S手機，並且按照官方程序重新設定（Reset）手機。接著再插入手機SIM卡，連上芬安全實驗室的無線網路基地臺。吳樹謙表示，測試人員接下來發現紅米手機開始傳送加密資料，經分析是手機序號IMEI碼，並沒有傳送使用者的手機號碼。

測試人員接著開啟GPS定位服務，並在通訊錄新增聯絡人名單，測試收發簡訊與多媒體簡訊，以及撥打與接聽電話。

在前次測試中引起最大爭議的一點，是小米手機未經當事人同意便自動開啟網路簡訊，並且以無加密的明碼方式將簡訊收發雙方的電話號碼，都回傳小米在北京的伺服器。

吳樹謙表示，在紅米手機升級OTA包後，測試過程中發現小米已將網路簡訊服務改為預設是關閉，使用者必須自行啟用該功能；而原本以明碼方式傳送簡訊收發雙方電話號碼的問題，經芬安全的資安專家透過Https Proxy代理伺服器進一步確認，小米已經改採加密方式傳送簡訊收發者的電話號碼。

至於，原本紅米手機登入小米雲服務後，會將手機的國際行動用戶辨識碼（IMSI）資訊，及手機序號IMEI碼和電話號碼，都以明碼傳送到小米的api.account.xiaomi.com伺服器，不過，經過OTA包升級後，吳樹謙表示，小米手機都改採加密方式傳送這些資料了。

吳樹謙總結這次的測試結果，紅米手機升級小米日前釋出的OTA包後，手機一開機、插入SIM卡，會以加密方式回傳手機序號IMEI碼（小米官方聲稱此為確認是否真品）；網路簡訊服務則改為預設關閉，必須由使用者自行啟用，也同時以加密方式，傳輸簡訊收發者的電話號碼、IMEI碼和IMSI碼；登入小米雲服務後，也同樣改以加密方式，傳送使用者電話號碼、IMEI碼和IMSI碼。

測試結果2：沒有啟用小米雲服務，小米手機依舊會上傳應用程式清單

此外，在前次測試中，臺灣資安公司戴夫寇爾以一支正常使用多時、只安裝少數基本App的紅米S1手機進行測試，發現紅米手機會自動上傳使用者的應用程式清單。臺灣小米對此解釋，傳送應用程式清單是為了小米雲服務的雲端備份所需。在小米釋出OTA升級包之後，戴夫寇爾針對上次同一款紅米手機進行相同的測試，從13日開始測試，直到15日凌晨4點完成。翁浩正表示，他所測試的紅米手機並未啟用小米雲服務，但是紅米手機仍舊會上傳應用程式清單到小米的伺服器（http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php）。他質疑：小米雖然宣稱傳送應用程式清單是基於小米雲服務所需，然而他並未開啟小米雲服務，為何小米仍擅自傳送使用者的應用程式清單？

在第一次測試中，翁浩正在監測手機的過程中也發現，紅米手機會回傳資料到pmir.3g.qq.com伺服器，經查是紅米手機預設開啟雲端掃毒服務，因其使用騰訊的雲查殺服務，因此會傳送資訊至騰訊的伺服器，然而由於傳送的資料已加密，無法檢視傳送內容。翁浩正隨後關閉雲端掃毒服務，紅米手機就不再傳資料回騰訊的伺服器。在升級OTA包之後，再次測試的結果與第一次相同，使用者只要關閉病毒庫更新設定中的「自動更新」、「使用雲端殺毒」、「安裝監控」，紅米手機就不會再傳資料至騰訊的伺服器。

臺灣小米重申一切連網服務都不涉及用戶隱私

針對小米手機OTA升級後再次測試的結果，iThome聯繫臺灣小米的公關窗口，但小米並未回覆上述問題，僅以引述香港小米官方臉書說明作來回答，小米香港官方臉書的聲明：

1. 8月10日OTA更新包，關閉了“網路簡訊”自動啟動功能後，已經絕無任何未經用戶許可傳輸個人資料到小米伺服器的行為；

2. 個別用戶在OTA包更新後，仍觀察到手機和小米服務器的網絡連線，經確認，均為不涉及用戶私隱的互聯網服務，包括但不限於公眾日曆更新、MIUI系統提醒、軟件更新、系統短訊智能辨認、天氣等。

**iThome找資安專家二度實測小米手機結果**
小米手機第一次實測	系統升級後，小米手機第二次實測
芬安全測試揭露： ‧手機開機、連網後，明碼回傳IMEI碼和手機號碼(有資安疑慮） ‧自動開啟網路簡訊，明碼回傳收發簡訊人電話(有資安疑慮） ‧登入小米雲，明碼傳送IMEI碼、IMSI碼和電話號碼(有資安疑慮）	芬安全測試揭露： ‧加密回傳IMEI碼 ‧網路簡訊服務預設關閉，自行啟用後，加密回傳使用者收發簡訊號碼 ‧登入小米雲後，加密傳送IMEI碼、IMSI碼和電話號碼
戴夫寇爾測試揭露： ‧沒啟用小米雲，仍上傳應用程式清單(有資安疑慮） ‧雲端殺毒服務預設開啟，連回騰訊伺服器，回傳加密資料，但可關閉	戴夫寇爾測試揭露： ‧沒啟用小米雲，仍上傳應用程式清單(有資安疑慮） ‧雲端殺毒服務預設開啟，連回騰訊伺服器，回傳加密資料，但可關閉