自從iThome委託資安公司芬安全(F-Secure)位於馬來西亞的亞洲資安實驗室,以及臺灣資安公司戴夫寇爾,二度協助測試小米手機的安全性以來,引發政府部門和民眾持續關注小米手機隱私保護的議題。國家通訊傳播委員會(NCC)則表示,小米手機在9月27日第二次釋出軟體升級包(OTA)後,經外部受委託單位測試,小米手機依舊存在資安風險,目前正在開會討論,擬以消保法,要求臺灣小米科技改善手機資安與強化隱私保護。

NCC仍發現小米手機有手機號碼以明碼傳送的現象

為了掌握小米手機的安全性議題,NCC先前已經委由外部單位協助測試相關安全性及隱私保護議題。NCC技術資源處處長羅金賢表示,在9月27日小米手機第二度釋出軟體升級包後,經測試後發現,最大的改善就是,新增由使用者同意的隱私權政策,也明定包括手機號碼在內,都屬於個人隱私項目。他認為,這也顯示小米手機開始意識到,保護個人隱私的重要性。

但羅金賢表示,受測單位在測試的過程中卻仍發現,在啟用某個新服務時,列為個人隱私資料的電話號碼,第一次傳送時。還是以明碼對外傳送,這與小米手機新增的隱私同意的精神是相反的。但他不願意詳細說明,是啟用哪個服務時,手機號碼是以明碼傳送。

應用程式清單仍上傳,小米手機未見改善

羅金賢也不小心透漏,這次測試結果最為人詬病的部分,其實就是iThome先前委由戴夫寇爾歷經2次測試時,小米科技遲遲沒有給予清楚解釋的「應用程式清單上傳」問題。他說:「測試結果清楚證明,就算沒有啟用雲端服務,手機只要一開機,就持續回傳使用者應用程式清單到小米伺服器。」。

他指出,NCC在和臺灣小米科技互動的過程中發現,小米科技並不認為這類應用程式清單上傳,與個人隱私保護有和關係。但羅金賢認為,即便在個資法規定中,這類資訊不算法律規定的個資,但個人偏好仍屬隱私一環,「小米科技應該給予手機使用者足夠的尊重,要上傳應用程式清單時,仍必須告知使用者並徵得同意後才能上傳。」他說。

NCC考慮以消保法要求小米科技改善手機安全

先前iThome委由兩間資安公司測試小米手機所發現的資安漏洞,NCC在委請外部單位測試時,也都重複測試相同的隱私漏洞,就是為了確認小米科技是否有所改善。羅金賢說:「因為手機在經過OTA軟體升級後,很多情境都消失了,因此,外部檢測單位也都以錄影方式,保留相關的測試證據。」

目前NCC還在委員會中討論,是否會進一步對外公布小米手機的測試情況,但羅金賢發現,臺灣小米科技並不重視政府希望小米改善的資安保護和隱私項目,所以,NCC也在開會討論,考慮以消保法的規範,要求臺灣小米科技進一步改善相關的手機隱私問題。

不過,他也說,政府部門是否會禁用小米手機,將看行政院資通安全辦公室看完全部測試報告後,才會對外公布,屆時也會公開協助測試的業者以召公信。

熱門新聞

Advertisement