小米傳送門經 F-Secure 實測確認已關，安心了嗎？

JIMMY

好吧，姑且不論小米這次對於新機開機就會自行傳送隱私資料去北京的傳送門事件，該公司的反應時間算是長還是短。但經歷了這次事件而使得台灣的小米用戶成了驚弓之鳥，所以在更新之後到底有沒有確實關緊傳送門也變得有點眾說紛紜。好在，我們的資安好朋友 F-Secure 也在後續的追蹤測試後，跳出來公佈了他們的最新實測資料。確認安裝了更新檔的小米手機，除了大家都能看到的雲訊息已經預設為關閉外（即使開啟也有 base-64 與 https 安全傳輸加密了），新增聯絡人、發送簡訊與撥打接收電話也都不再有任何資料傳出了。這樣大家有覺得安心了點嗎？


http://chinese.engadget.com/2014/08/15/f-secure-xiaomi-privacy-issue-fix/?ncid=rss_truncated

zcguo

不過倒是找不到直接從F-Secure出來的消息,看有沒有英文好的人找英文的看看

Bachelor

zcguo 發表於 2014-8-15 21:17 static/image/common/back.gif
不過倒是找不到直接從F-Secure出來的消息,看有沒有英文好的人找英文的看看

請參考http://www.f-secure.com/weblog/archives/00002734.html
英文原意就是一樓寫的測試結果
只不過有詳細說明是怎麼測試的

zcguo

以下是用軟體直接翻的(不是GOOGLE喔),有看到好笑的地方笑笑就好

---

8月10日小米解決隱私問題關係到其智能手機MIUI的雲端通訊功能，通過釋放的OTA更新旨在使這一個選擇的功能，而不是默認的。

  既然我們已經有了手機設置中，我們下 ​​載並應用更新到相同的Redmi 1S手機，我們在使用之前的測試 ：

http://www.f-secure.com/weblog/archives/xiaomi_otaupdate.jpghttp://www.f-secure.com/weblog/archives/xiaomi_phone.png

  然後，我們的工廠重置。  一旦手機重新啟動，我們注意到，雲消息，現在是默認設置下設定為關閉 ：

http://www.f-secure.com/weblog/archives/xiaomi_phone_settings.png

  然後，我們經歷了以下步驟：

  •添加新的聯繫人
  •發送和接收短信
  •撥打和接聽電話

  在這些活動中，我們沒有看到任何數據從手機中發送出去。

  接下來，我們啟動了雲消息功能，登錄到彌雲。  在這一點上，我們看到了base-64編碼的流量被發送到https://api.account.xiaomi.com：

http://www.f-secure.com/weblog/archives/for_xm_cropped_blurred.png

  請注意，這是目前通過HTTPS而不是HTTP，因為我們在以前的試驗觀察。  我們不得不使用HTTPS代理，以查看什麼傳遞：

http://www.f-secure.com/weblog/archives/traffic_cropped.png

  這是一個快速測試來檢查更新解決了在各種媒體的報導強調了點。  小米副總裁雨果·巴拉也發布了MIUI的雲端通訊執行更多的細節。

卡魯斯

那這樣，算是給台灣酸民一個交待吧
反正會買的，還是會買
會酸的，還是會繼續酸
會罵的，永遠不會停止

JoeRong

卡魯斯 發表於 2014-8-15 22:42 static/image/common/back.gif
那這樣，算是給台灣酸民一個交待吧
反正會買的，還是會買
會酸的，還是會繼續酸

我還是會買、也會酸、更要罵

kid888

卡魯斯 發表於 2014-8-15 22:42 static/image/common/back.gif
那這樣，算是給台灣酸民一個交待吧
反正會買的，還是會買
會酸的，還是會繼續酸

小米機低價登台 個資安全受矚目 https://www.youtube.com/watch?v=Vbg3Oot_Aj4
一年多以前就有專家分析過小米手機會有潛在的狀況
只是如此低價手機讓大多數人對這種狀況比較無感

米蟲

kid888 發表於 2014-8-15 23:13 static/image/common/back.gif
小米機低價登台 個資安全受矚目 https://www.youtube.com/watch?v=Vbg3Oot_Aj4
一年多以前就有專家分析過 ...

實際上小米算是好的，查查你的GOOGLE服務和各種常用APP吧，看看什麼叫做肆無忌憚

卡魯斯

米蟲 發表於 2014-8-15 23:44 static/image/common/back.gif
實際上小米算是好的，查查你的GOOGLE服務和各種常用APP吧，看看什麼叫做肆無忌憚 ...

對阿，很多APP
都要你的聯絡人等資料
就覺得很奇怪
不點同意下去，你就不用使用這個APP
就跟安裝程式或是遊戲一樣，有多少人會去看那個用戶權限資料的

shunhsingkuo

測試小米公司的紅米1S- 藉由 OTA 更新	由 FSLabs 發布於 05:42 GMT

小米公司的智慧型手機，日前因為MIUI系統的雲端簡訊功能所產生的使用者隱私權問題，該公司在8月10日宣稱發布了一個OTA更新，會將此功能交由使用者決定是否開啟，而非預設開啟。

因為我們已經將手機設定完畢，所以我們在之前測試的同一台紅米1S手機下載了更新，並且套用進去：

http://i355.photobucket.com/albums/r480/shunhsingkuo/xiaomi_otaupdate.jpg http://i355.photobucket.com/albums/r480/shunhsingkuo/xiaomi_phone.png

然後我們回復原廠設定，等到手機重啟後，我們注意到設定裡的雲端簡訊服務現在預設是「關閉」：

http://i355.photobucket.com/albums/r480/shunhsingkuo/xiaomi_phone_settings.png

接著，我們執行底下三個動作：

   • 新增一個新的聯絡人
   • 傳送與接收一封簡訊
   • 播出與接聽一通電話

在執行這些動作期間，我們沒有發現手機有不正常傳輸任何資訊的行為。

下一步，我們開啟雲端訊息功能，並且登入小米雲服務。此時，我們看到了有資料用base64編碼被傳輸到 https://api.account.xiaomi.com：

http://i355.photobucket.com/albums/r480/shunhsingkuo/for_xm_cropped_blurred.png

注意，現在是透過HTTPS通訊協定而不是HTTP，如同我們之前測試中所看到的一樣。我們必須使用HTTPS代理伺服器，以便觀察什麼資料被傳送出去：

http://i355.photobucket.com/albums/r480/shunhsingkuo/traffic_cropped.png

這是一個快速測試，用來檢測這次的更新是否還存在著各大媒體報導關注的那些爭議點，小米公司的副總裁Hugo Barra也發表了更多關於MIUI系統的雲端簡訊服務的詳細內容。

------------------------------------------------------------------------------------------------------------------------------------------------

使用者隱私權問題：http://www.engadget.com/2014/08/10/xiaomi-privacy-issue-cloud-messaging/
之前測試：http://www.f-secure.com/weblog/archives/00002731.html
副總裁發表更多詳細內容：https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj

原文網址：http://www.f-secure.com/weblog/archives/00002734.html

以上，shunhsingkuo(興桑)還算專業的翻譯，僅供參考，歡迎分享。