小米台湾承认私自上传用户信息,紧急修补更新后又现Bug

　　小米手机在台湾的隐私问题持续发酵，8月8日有台湾媒体找来安全专家实测，证实之前的传闻是真的，那就是小米手机的确偷传资料到北京服务器，引起不少台湾民众对小米手机的批评。但小米公司第一时间仍信誓旦旦否认此事，辩称小米手机内置所有服务都会取得用户同意后才搜集资料。直到踢爆事件2天后，也就是8月10日，小米发表声明，推翻了自己两天前的说法，坦言确实有一项“网路简讯(网络短信，类似于iMessage”服务会自动启动回传手机号码到北京。

　　小米科技8月10日在官方粉丝团上发布紧急声明，证实的确有一个内置于小米手机系统内的“网路简讯”服务，在未经使用者同意的情况下会自动启动，将使用者的电话号码、IMSI(国际移动用户识别码)及IMEI码(国际移动装置识别码)回传到小米服务器上。另外，小米也证实了透过这个网路简讯服务回传北京的使用者电话号码没有加密，而是采用明码传递。

　　因采用明码发送，一般具备相当电脑能力的网管人员，利用网路监听工具可以在同一个网路环境中侦测到手机所发送的网路封包来取得真实电话号码，不需要经过破解。换句话说，过去用小米手机的民众，你的电话号码已经暴露在你所身处的网际网路上，例如你在咖啡厅用小米手机上网，若有人用网路监听工具侦测这个Wi-Fi的网路封包，就能偷到你的电话号码。或是在任何公共场所：机场、学校、办公室的网路环境都一样有被窃取手机号码的机会。

　　小米科技也在声明稿中向用户道歉，并如同先前还没被安全公司发现偷传资料前的说法，再次声明所有服务“未经用户允许，不会主动上传涉及用户隐私的个人资讯和资料。”但并未解释为何仍会被发现有这个自动启动的“网路简讯”服务。

　　但是一波未平一波又起，8月10日小米台湾在Facebook主页发表声明，称发布了OTA升级包，关闭“网路简讯”自动启动功能后，大量使用小米2S的网友回复称升级之后内置的浏览器不见了，同时还有部分用户反映这次更新影响到了Line软件的部分功能，更有网友抱怨小米“越改越烂”。

　　8月11日消息，近日有台湾媒体称小米手机未经用户同意上传用户数据。小米承认私自上传用户信息，但称已经解决了该问题。

　　8月10日小米在香港Facebook主页发表声明，称发布了OTA升级包，关闭“网路简讯(大陆称为网络短信)”自动启动功能，升级后，所有新用户或将手机恢复出厂设置的旧用户，如希望开启“网路简讯” ，可选择“设置> 小米云服务> 免费网路简讯”，或至简讯应用中启动该服务。

　　小米解释说，小米手机在开机后，会通过小米服务器和IP协定，自动启动“网路简讯”服务，提供用户免费发送短信的服务。MIUI“网路简讯” 使用手机唯一识别码(包括电话号码、IMSI 及IMEI)对应后提供两设备间的数据传输，其原理和其他即时通讯应用软件相仿。而用户的个人私隐数据，包括电话号码和通讯录等信息，都不会储存在“网路简讯”小米服务器上。

　　与此同时，小米副总裁雨果巴拉在谷歌+页面上，也对此事进行了回应：“小米是一个专注于提供高质易用移动网络服务的公司。我们相信保护用户数据与隐私是最优先的。我们不在用户许可前上传或储存私人信息或数据。我们决定把小米云端短信设置为一项需要选择启用的服务，并且不再会自动启用。 同时，雨果向MIUI用户与粉丝对此感到的担忧表示了歉意，并感谢了提供了反馈建议的用户和媒体。”

　　雨果巴拉还说明了MIUI云端信息处理电话号码的机制：

　　1，发送/接收者的电话号码是标识信息传递的主要依据。IMEI与IMSI也用于追踪设备的在线状况。

　　2，当MIUI用户开启短信或打开联系人，或新建一个联系人时，设备会将涉及该联系人的电话号码发送给小米云端短信的服务器，并查找该联系人的在线状态(或者是否是云端短信的用户)。这使得发送者能立刻确定是否能发送免费的信息。

原文转自：http://digi.tech.qq.com/a/20140811/014539.htm