米柚愛好者論壇
標題: 小米傳送門經 F-Secure 實測確認已關,安心了嗎? [打印本頁]
作者: JIMMY 時間: 2014-8-15 21:05
標題: 小米傳送門經 F-Secure 實測確認已關,安心了嗎?
好吧,姑且不論小米這次對於新機開機就會自行傳送隱私資料去北京的傳送門事件,該公司的反應時間算是長還是短。但經歷了這次事件而使得台灣的小米用戶成了驚弓之鳥,所以在更新之後到底有沒有確實關緊傳送門也變得有點眾說紛紜。好在,我們的資安好朋友 F-Secure 也在後續的追蹤測試後,跳出來公佈了他們的最新實測資料。確認安裝了更新檔的小米手機,除了大家都能看到的雲訊息已經預設為關閉外(即使開啟也有 base-64 與 https 安全傳輸加密了),新增聯絡人、發送簡訊與撥打接收電話也都不再有任何資料傳出了。這樣大家有覺得安心了點嗎?
http://chinese.engadget.com/2014/08/15/f-secure-xiaomi-privacy-issue-fix/?ncid=rss_truncated
作者: zcguo 時間: 2014-8-15 21:17
不過倒是找不到直接從F-Secure出來的消息,看有沒有英文好的人找英文的看看
作者: Bachelor 時間: 2014-8-15 21:27
本帖最後由 Bachelor 於 2014-8-15 21:31 編輯
請參考http://www.f-secure.com/weblog/archives/00002734.html
英文原意就是一樓寫的測試結果
只不過有詳細說明是怎麼測試的
作者: zcguo 時間: 2014-8-15 21:32
以下是用軟體直接翻的(不是GOOGLE喔),有看到好笑的地方笑笑就好
8月10日小米解決隱私問題關係到其智能手機MIUI的雲端通訊功能,通過釋放的OTA更新旨在使這一個選擇的功能,而不是默認的。
既然我們已經有了手機設置中,我們下 載並應用更新到相同的Redmi 1S手機,我們在使用之前的測試 :
http://www.f-secure.com/weblog/archives/xiaomi_otaupdate.jpghttp://www.f-secure.com/weblog/archives/xiaomi_phone.png
然後,我們的工廠重置。 一旦手機重新啟動,我們注意到,雲消息,現在是默認設置下設定為關閉 :
http://www.f-secure.com/weblog/archives/xiaomi_phone_settings.png
然後,我們經歷了以下步驟:
•添加新的聯繫人
•發送和接收短信
•撥打和接聽電話
在這些活動中,我們沒有看到任何數據從手機中發送出去。
接下來,我們啟動了雲消息功能,登錄到彌雲。 在這一點上,我們看到了base-64編碼的流量被發送到https://api.account.xiaomi.com:
http://www.f-secure.com/weblog/archives/for_xm_cropped_blurred.png
請注意,這是目前通過HTTPS而不是HTTP,因為我們在以前的試驗觀察。 我們不得不使用HTTPS代理,以查看什麼傳遞:
http://www.f-secure.com/weblog/archives/traffic_cropped.png
這是一個快速測試來檢查更新解決了在各種媒體的報導強調了點。 小米副總裁雨果·巴拉也發布了MIUI的雲端通訊執行更多的細節。
作者: 卡魯斯 時間: 2014-8-15 22:42
那這樣,算是給台灣酸民一個交待吧
反正會買的,還是會買
會酸的,還是會繼續酸
會罵的,永遠不會停止
作者: JoeRong 時間: 2014-8-15 23:05
我還是會買、也會酸、更要罵
作者: kid888 時間: 2014-8-15 23:13
小米機低價登台 個資安全受矚目 https://www.youtube.com/watch?v=Vbg3Oot_Aj4
一年多以前就有專家分析過小米手機會有潛在的狀況
只是如此低價手機讓大多數人對這種狀況比較無感
作者: 米蟲 時間: 2014-8-15 23:44
實際上小米算是好的,查查你的GOOGLE服務和各種常用APP吧,看看什麼叫做肆無忌憚
作者: 卡魯斯 時間: 2014-8-16 00:06
對阿,很多APP
都要你的聯絡人等資料
就覺得很奇怪
不點同意下去,你就不用使用這個APP
就跟安裝程式或是遊戲一樣,有多少人會去看那個用戶權限資料的
作者: shunhsingkuo 時間: 2014-8-17 00:06
本帖最後由 shunhsingkuo 於 2014-8-17 00:38 編輯
| 測試小米公司的紅米1S- 藉由 OTA 更新 | 由 FSLabs 發布於 05:42 GMT |
|
------------------------------------------------------------------------------------------------------------------------------------------------
使用者隱私權問題:http://www.engadget.com/2014/08/10/xiaomi-privacy-issue-cloud-messaging/
之前測試:http://www.f-secure.com/weblog/archives/00002731.html
副總裁發表更多詳細內容:https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
原文網址:http://www.f-secure.com/weblog/archives/00002734.html
以上,shunhsingkuo(興桑)還算專業的翻譯,僅供參考,歡迎分享。
作者: putstr 時間: 2014-8-17 00:22
老實說,其實每個人的個資都流落在各處,有誰沒接過要請你跟他們借錢的電話,至於它們如何知道電話的,也許是自己不小心流出去,也許是被內部員工拿出去
但是,我可以確定的是,連新號碼都還沒說出去的,也會有莫名的電話簡訊跑來
作者: isakira 時間: 2014-8-17 00:23
遠傳的, 我知道
我一個新門號已淪陷
作者: Ranger 時間: 2014-8-17 00:26
我比較好奇的是
可不可以只更新『關閉』的那項功能部分
那個OTA是整個系統更新,還是部分功能更新
作者: 卡魯斯 時間: 2014-8-17 04:53
遠傳得很扯
我弟的新門號,也遇過同樣問題
我朋友辦的易付卡,竟然也收過
真的很離譜
作者: 無盡閃亮的紅米 時間: 2014-8-17 05:16
我相信職業酸民才不管這種「正面」新聞呢!
放大絕「啊不就好棒棒!」他們就覺得贏了!
其他的大絕還有例如「喔,然後呢」。
反正職業酸民想雞蛋裡挑恐龍骨頭也都能挑!
作者: fhd01 時間: 2014-8-17 10:07
是連姓名都知道的嗎?
如果連姓名都知道那就真的是流出去的沒錯了
這樣就應該已經違反個資法了
作者: 卡魯斯 時間: 2014-8-17 17:05
本帖最後由 卡魯斯 於 2014-8-17 17:07 編輯
我自己就接到不少保險跟貸款的詢問電話
我也是用遠傳的
現在那家電信,沒有流出個人資料,很難說
且個資法上路,這也要你查得出來,你的個資是從誰那邊流出的
光是網路購物,或是貨物物流,這些全部都會將基本個資流出去
我所謂基本個資,就是姓名,住址跟電話,這基本的
再細一點的,可能連身份證號碼都.....
且假設個資被賣出去一次,A賣B,B轉賣給C的接會不是沒有
C再循環下去給D,D又.....
你的個資,大概從你外洩一次之後就.......
作者: 棋長老 時間: 2014-8-17 17:20
我是覺得青菜啦~反正他要偷也只能偷到一些謎片XD
作者: fhd01 時間: 2014-8-18 16:59
也是啦 舉證困難
這大概就是為什麼個資會到處流竄的原因吧
作者: JIMMY 時間: 2014-8-19 09:17
每次接到行銷的電話我都會問怎麼有我電話,對方都是一律回答是用系統自動跳號撥打的,並不知道我的電話,但是確連我的名字都知道,這系統真是厲害
作者: jamesliao888 時間: 2014-8-19 11:27
對你來說是 新門號..對廠商來說 那是人家退掉的門號...所以垃圾可能就跟著來
我的門號常有外勞打來說xx 你還在仲介外勞....之類的...
作者: jamesliao888 時間: 2014-8-19 11:33
新版的個資法是企業要舉證 而不是個人舉證囉
抓其中一小段給大家參考一下
原文如下:
http://news.networkmagazine.com.tw/magazine/2013/01/18/46098/
舉證責任倒置
今年10月新版「個人資料保護法」施行前,個人提供給企業的個人資料遭外洩時,被害人需要證明企業有故意或過失,才能請求損害賠償。但是企業是否有故意或過失,往往涉及其人員管控及資訊安全政策等內部事項,身為企業外部人員的受害人,不太可能來對於這些內部事項進行舉證,故其常因舉證不足而無法獲得合理的救濟。
因此,今年10月1日施行的新版「個人資料保護法」第29條即規定,企業若違反本法的規定,導致個人資料遭受不法蒐集、處理、利用或其他侵害當事人權利者,除該企業能證明其無故意或過失者外,否則即須負擔損害賠償責任。
這就是「舉證責任倒置」的規定,也就是將故意或過失的證明責任由受害人身上移轉到企業中,而唯有當企業能證明其無故意或過失時,才能免除其損害賠償的責任。因個人資料保護法第27條規定, 企業需採取適當的安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。
| 歡迎光臨 米柚愛好者論壇 (https://mi.ezbox.idv.tw/) |
Powered by Discuz! X2.5 |