2014.08.10 15:26

小米官網對「網路簡訊」泄露個資官方回應

ADVERTISEMENT

前兩天由為小米3以及紅米1s進行實測的報告於ithome網站刊出,於7/31~8/6檢測發現,在手機不安裝或連接小米雲服務的情況下,插上SIM卡,一開機已經將手機的IMEI碼及使用者電話號碼傳送至北京的伺服器。由於是資安網站專業測試,等於將小米之前沒有泄露個資的說法打臉。

IMEI碼為國際上公認的手機標誌序號,相當於手機的身份證。在這個測試中還發現,手機會把接收簡訊者的手機號碼,也轉發到北京的伺服器中。

測試同時還發現有一部份資料會被加密傳送至pmir.3g.qq.com伺服器。系統輸入文字時,會傳送至「友盟 umeng」蒐集使用者資料以及統計數據。由於採用加密傳送的方式,F-Security並不能測出到底傳了什麼內容。

ADVERTISEMENT

對照於一般手機,在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼。

針對以上報導,小米官方於8月10發出「關於“網路簡訊”的緊急聲明」,全文如下:

ADVERTISEMENT

 


除了聲明之外,小米還附上「網路簡訊」服務原理詳解。

Q:小米的 “網路簡訊”服務是什麼?
A:“網路簡訊”是 MIUI 的系統功能之一,傳統簡訊是通過電信公司簡訊閘道系統(SMS Gateway)發送簡訊。而MIUI的“網路簡訊”是通過IP傳輸協議,為用戶提供免費的簡訊傳遞服務。

Q:“網路簡訊”如何運作?會儲存用戶個人資料嗎?
A:小米手機在開機後,會通過小米伺服器和 IP 通訊協定,自動啟動“網路簡訊”服務,提供用戶免費發送簡訊的服務。MIUI“網路簡訊” 使用手機唯一識別碼(包括電話號碼、IMSI 及 IMEI)對應後提供兩設備間的資料傳輸,其原理和其他即時通訊應用軟體相仿。而用戶的個人隱私資訊,包括電話號碼和通訊錄等資訊,都不會儲存在 “網路簡訊”小米伺服器上。經加密處理的傳輸資訊內容,也不會被保留於小米伺服器上。

Q:以上所說和近日引發疑慮的用戶隱私問題有什麼關係?小米如何應對?
A:近日台灣媒體引用資安公司芬安全(F-Secure)的測試報告,指出小米手機將電話號碼回傳至小米伺服器,此報告指的即是“網路簡訊”服務。
小米公司非常重視保護用戶隱私,已組織工程師連夜加班,並於今天(8月10日)發佈OTA升級包,關閉“網路簡訊”自動啟動功能,升級後,所有新用戶或將手機恢復出廠設定的舊有用戶,如希望開啟“網路簡訊” 可經由 “設置 > 小米雲服務 > 免費網路簡訊”,或至簡訊應用中啟動該服務。

Q:“網路簡訊” 服務究竟如何處理用戶的電話號碼?
A: “網路簡訊” 服務主要使用電話號碼,作為用戶間傳送資訊的識別碼,同時也會使用 IMEI 及 IMSI來檢測手機的線上狀態。
當用戶發送簡訊時,如手機正處於連網狀態 “網路簡訊”就會以 IP 發送該條簡訊;如收信者非在線(意味著無法立即通過 IP 連接),系統則會以一般簡訊送出,而不會選擇通過 IP 發送。當用戶編輯一條簡訊或查看一個聯絡人資訊時,手機會通過“網路簡訊”伺服器以檢測該聯絡人的線上狀態,如聯絡人在線,會以藍色圖示表示;如非在線狀態或該用戶並未使用“網路簡訊”,則會出現灰色圖示。此舉是為了讓用戶能夠瞭解,該簡訊是付費還是免費發送。

在上述過程中,收信者的電話號碼,僅是用來辨認該使用者的線上狀態,以便判斷發送簡訊的方式(通過 IP 免費發送或電信公司簡訊系統付費發送)。任何用戶的電話號碼和通訊錄等個人資料,都不會儲存在網路簡訊伺服器中。

今天(8月10日)發佈的 OTA 升級包,同時增加了把用於實現“網路簡訊”識別用戶的電話號碼加密的功能,為用戶增加一道額外的安全防護。

未來,我們會持續完善“網路簡訊”功能,為用戶提供更優質更安全的服務。

ADVERTISEMENT

ADVERTISEMENT