港媒:红米更新后自动上传数据至新加坡服务器
香港媒体委托信息安全专家和安全公司Nexusguard测试后报道称,更新后的小米红米1s手机,每隔半小时就会向新加坡一台服务器自动上传资料。小米对此回应称,与服务器连线只为客户更新日历、天气等系统,不涉私隐。
上月有信息安全公司称,小米3及红米1S两款手机会将用户信息发送到小米位于北京的服务器,事后小米发布声明,并向用户提供更新,称安装更新后便可“安心使用”。该更新包适用于所有小米手机。
小米发布更新后,香港媒体委托信息安全专家,为香港版红米1S手机进行为期13天的监测测试;供测试的红米是全新机,开封后立即连接为测试专门设立的WiFi网络,以便监测手机是否向互联网上传了资料。
监测期间,手机一直维持闲置状态,只会偶尔进行拍照或新增通讯录等不涉及上网等动作,也没有登记及开启任何云端或互联网服务。
专家发现,红米手机在未安装更新包前,每日早上会自动将手机资料上传到位于北京的服务器。根据IP,服务器登记者为“北京蓝讯通信技术有限责任公司”,该公司主要从事中国互联网传输工作,为不少政府部门及国企提供服务;今年5月更与人民网在北京合作设立数据中心。红米上传的手机资料全部被加密,文件大小从893B至30KB不等,专家称以此估计,被传送的有可能包括通讯录在内等文字资料。
专家为红米安装小米发布的更新包后,发现手机已没有再将资料传到北京,但改为每隔半小时自动将手机资料上传到位于新加坡的亚马逊服务器。上传的资料同样被加密,文件比更新前要小,由143B至4KB不等,但上传间隔缩短。
报道称,该亚马逊服务器属公开的云服务器,可供任何人士租用。业内人士指出,该服务器方便隐藏身份,近年吸引不少网络黑客租用。
最后,港媒还委托信息安全公司Nexusguard Consulting,将红米手机的原操作系统删除,重新安装由第三方人士设计的作业系统,再监测手机活动时发现红米手机已没有上传资料到北京蓝讯或亚马逊新加坡的服务器,改为每日一次将资料上传到设计者的服务器。港媒由此得出结论称,之前传送用户资料到小米的服务器,是小米在手机所安装的系统造成。
小米对此报道回应称,安装更新包后,已经不会再传输用户的个人资料到小米的服务器;至于手机与小米服务器的连线,用于日历、天气、软件更新及系统提醒等互联网服务,并不涉及用户私隐。