面对“小米隐私门”事件,被称为发烧友之友的小米如何应对?一系列事件的背后又折射出了哪些深层次的问题?
就像是互联网发展的副作用一样,个人隐私问题开始慢慢凸显。IT行业高速发展的近十年时间,甚至从某个角度上,也可以说是网络安全问题持续爆发的十年。微软、谷歌、苹果等厂商至今时不时还被各种用户隐私泄露的官司或事件所缠身。比如近甚嚣尘上的iCloud好莱坞女明星私密照泄露事件。
可岂料传说中从来属于国际巨头们的“专利”竟有一天砸中了一家崛起不久的中国品牌。被奉为“发烧友”之友或是“屌丝之友”的小米,这一次,栽了……相对于还在持续发酵,尚不清楚真相究竟如何的iCloud“女明星事件”,小米这次的事情来龙去脉已经非常清晰,所以下面我们就该次事件做一个梳理和分析,至于iCloud事件,虽然苹果已经发布声明,声称与旗下的iCloud服务本身没有关系,但毕竟是单方面的表态,我们还是静待水落石出的一天吧。
7月18日
有媒体报道,香港红米Note用户发现自己的手机一开机就会把所有的个人资料持续和小米公司的北京服务器“连线”。此事曝光之后,引发各大媒体疯狂转发。
7月20日
香港媒体unwire获得了小米官方的回应澄清。小米声明:这些都是“小米账户”和“小米云服务”中“不涉及用户隐私的互联网服务”,只是推荐短信、主题、MIUI的OTA升级包等内容,这些数据仅仅是需要连接到总公司的服务器进行验证。而且,小米云服务是可选的,用户可以随时开关。
随后
有香港网友在IMA Mobile论坛上发帖证实,自己将红米1s手机升级到新的版本后,再进行重新设定,并将小米服务预设关闭,发现仍有很多服务自动连线北京小米服务器。之后,他再进行刷机,并卸载所有小米服务及内置程式,同时加装防火墙后,系统仍能连线北京服务器;甚至关闭了“网路简讯”(即网络短信)功能后,仍能够连线至北京小米服务器。
8月8日
我国台湾省资安公司芬安全F-Secure的一份测试报告显示,即使在小米账户和云服务没有开启的情况下,小米手机也会将部分用户数据传输到其服务器上。
F-Secure位于马来西亚的实验室选择了一台未拆封的红米1s手机进行测试,这台手机并没有经过任何设置(即没有开启小米云服务)。然后,他们通过了以下步骤去测试小米的数据连接:插入SIM卡,连接到F-Secure自己的无线网络,允许GPS位置服务,新增一个联系人到通讯录,分别发送和接受一个短信和彩信,拨打/接听电话。
F-Secure发现,手机在启动时就会发送用户正在使用的运营商名称、手机的IMEI(国际移动身份识别码)和电话号码(包括通讯录中的和短信的来源号码)到api.account.xiaomi.com这样一个服务器地址。而他们打开了小米云服务重复了以上步骤,发现这一次还包括了IMSI(国际移动用户识别码)。另外,手机还会把已经安装的应用程序名单传送到policy.app.xiaomi.com服务器。
8月10日
小米科技在Facebook上发布紧急声明,证实的确有一个内置于小米手机系统内的“网路简讯”服务,在未经使用者同意的情况下会自动启动,将使用者的电话号码、IMSI(国际移动用户识别码)及IMEI码(国际移动装置识别码)回传到小米服务器上。另外,小米也证实了透过这个网路简讯服务回传北京的使用者电话号码没有加密,而是采用明码传递。
同时,小米紧急发放了系统更新文件,将原来默认开启的功能改为用户启动才会生效。
8月16日
F-Secure发布后续追踪测试结果,表示小米手机在安装更新档案后,确实已经将先前引起争议的云讯息改为缺省关闭,同时在功能开启时也会透过base-64与https安全加密传输,而包含联系人、简讯与电话功能也不会把资料传递给北京服务器。
但同时,也有大量使用小米2S的网友抱怨称升级之后内置的浏览器不见了,同时还有部分用户反映这次更新影响到了Line软件的部分功能,更有网友直言小米“越改越烂”。
小米是一家行动互联网公司,致力于提供高质量的手机和优质的互联网服务,同时非常重视保护用户私隐。小米提供的所有互联网服务均符合小米公司私隐条款:未经用户允许,不会主动上传涉及用户私隐的个人信息和数据。
基于近日的媒体报道,部分用户对“网络简讯”自动启动后的个人私隐数据传送的担忧,小米公司非常重视,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网络简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网络简讯”可经由“设置>小米云服务>自由网简讯”,或至简讯应用中启动该服务。
小米公司对给用户造成困扰表示诚挚歉意,也感谢广大媒体、用户第一时间给我们反馈问题和修正机会,给小米更快进步空间,为用户持续提供更优质更安全的互联网服务。
不得不说,这是一次小米品牌的公关危机。然而小米却在先后两次声明中做出了截然相反的答复。且不论7月20日的官方回复有多少敷衍的成分,单看时隔长达3周之后《关于“网络简讯”的紧急声明》,就足以看出小米对于此次事件的态度。
首先,小米在声明中第一部分就说到自己“非常重视保护用户私隐……小米提供的所有互联网服务均符合小米公司私隐条款:未经用户允许,不会主动上传涉及用户私隐的个人信息和数据”。其潜台词很明显,小米很注重用户隐私,你们的数据会上传完全是因为你们(允许)开启了“网络简讯”—虽然我没有明确告诉你它会自动上传你的隐私。所以我们之前的做法是合法而且合乎情理的。
其次,你们很担忧,所以我们“非常重视”并组织攻城狮“连夜加班”来为你们解决烦恼—嗯,我们很有诚意。但是请注意,小米通篇未提及F-Secure的测试是否正确,也未明确自责对于用户隐私保护的轻视或者是忽略。当然,小米在声明的字面上注明了“表示诚挚歉意”,但仅仅是针对给用户造成的困扰。
再者,小米甚至未提到为何要搜集正在使用的运营商名称、手机的IMEI和IMSI、电话号码(包括通讯录中的和短信的来源号码),以及手机上的应用程序名单,也未提及此前已经被上传的这些资料将作如何处理。
后,小米公司这份声明后面还有长达整整一千字的Q&A,其中提及“用户的个人私隐信息,包括电话号码和通讯簿等信息,都不会储存在‘网络简讯’小米服务器上。经加密处理的传输信息内容,也不会被保留于小米服务器上”。但问题是,种种测试表明,小米手机此前自动回传用户信息都是采用的明码发送。
熟悉互联网安全的朋友都知道,如果将用户个人资料采用明码发送至服务器,一般具备相当电脑能力的网管人员,利用网络监听工具可以在同一个网络环境中,侦测到手机所发送的网路封包,来取得真实电话号码,不需要经过破解。
因此,小米隐私门真正的受害者不仅仅是港台用户,而是所有未获知情权的小米用户。而8月10日的这份声明是小米在Facebook放出的,而在大陆这边的小米官网和官方新浪微博上,均找不到同样的声明文字。而这一点继续让小米再跌了一个跟头。