學校期末教學評鑑抽獎禮物
是有資安疑慮的 #小米手環
#按呢敢好??
(2014)小米手機偷傳資料到北京?iThome找資安專家實測:有
>>>iThome找來資安專家實機測試日前傳出資料回傳中國風波的紅米手機。檢測過程中,確實發現紅米手機有資料回傳小米北京總公司伺服器,不論是全新的紅米手機,或者是使用一陣子的紅米手機,都有類似現象。<<<
https://reurl.cc/X6paMM
(2016)警告!運動手環偷走了你的密碼
>>>據 Binghamton 大學和 Stevens 理工學院的最新報告顯示,運動手環盜取你的銀行帳戶密碼是完全有可能發生的,這類具有運動追蹤功能的穿戴式裝置能夠準確地記錄用戶的手部動作,使用者在 ATM 提款機上輸入密碼時也不例外,記錄下運動的軌跡還可能被發送到其他人手中,利用對運動軌跡的分析,就可以輕而易舉地獲得密碼<<<
https://reurl.cc/8Gzbab
(2016)研究:7款運動手環恐洩個資 小米手環在列
>>>非營利組織Open Effect與多倫多大學共同進行的研究發現,包含Basis、Fitbit、Garmin、Jawbone、Mio、Withing以及小米推出的運動手環,所搭載的藍牙功能因有固定辨識標籤,只要透過這個標籤,即便在手機上的藍牙功能關閉,沒有與手機配對的情況下,第三方仍然可以追蹤這些運動手環在任何時刻的位置<<<
https://reurl.cc/V67mv6
(2018)戴智慧手環要當心!? 個人資訊恐露餡
>>>台科大資管教授查士朗:「如果有一些安全性設計,沒有設計很好的手環,或是物聯網裝置,它在傳輸資料的時候,傳一些敏感資料,我們就可以從這邊側錄到。」<<<
https://reurl.cc/5lVbWR
(2019)個資可能被看光 杜奕瑾:別用中國App和設備
>>>PTT之父杜奕瑾今天說,盡量別用來自中國等有疑慮的App和設備,因為它們不需要徵得使用者的同意,「自動」會即時收集整合公私部門資料,推送警政監控系統。<<<
https://reurl.cc/arRMjG
(2020)小米爆資安疑慮!將用戶資料傳回中國
>>>小米卻又承認他們的確有收集瀏覽網站的相關數據,不過這是用來改善產品品質最常見的解決方法之一<<<
https://reurl.cc/mn7kQV
小米資安ptt 在 [新聞] 小米手機涉資安審查?國際資訊網站實測 的推薦與評價
1.原文連結:https://bit.ly/3f1xNWC
連結過長者請使用短網址。
2.原文標題:小米手機涉資安審查?國際資訊網站實測:看來可怕,但事實並非如此
標題須完整寫出(否則依板規刪除並水桶)。
3.原文來源(媒體/作者):聯合線上 /張念慈
例:蘋果日報/王大明(若無署名作者則不須)
4.原文內容:國家通訊傳播委員會(NCC)日前點名,知名品牌小米的Mi 10T 5G手機
會
「檢查政治敏感詞」,遭到台灣小米嚴正否認,強調「從來沒有、將來也不會」,到底誰
說
的是真的?其實早在去年,在全球擁有500萬使用者的行動軟體開發社群XDA就實測發現「
看來可怕,但事實並非如此。」
NCC指出,去年10月委請電信技術中心TTC檢測小米同款手機,結果發現其內建7個
應
用軟體會從伺服器比對檔案,針對包括「自由西藏」、「臺灣獨立」、「香港獨立媒體」
、
「六四事件」、「胡錦濤」、「蔡英文」、「民進黨」等兩千多筆詞彙,具有阻絕連網或
將
使用者瀏覽資訊回傳疑慮。
小米發聲明強調,「從來沒有,將來也不會限制、回傳或阻隔手機用戶的任何個人行為,
例
如搜尋、打電話、瀏覽網頁或使用第三方通訊軟體。」
小米表示,該比對檔案是用來管理廣告商在小米自有App中推送的付費內容,比如免除色
情
、暴力、仇恨言論、以及可能冒犯當地使用者的資訊,「這一做法在智慧手機與臉書、谷
歌
等社群網站規範管理,是很常見的做法與規範」。
到底小米手機,是否涉及資安疑慮?這樣的規範做法,真的是常見合理的嗎?事實上,去
年
9月就曾經有過討論。當時立陶宛國家資訊安全局(NCSC)曾指控,小米手機會自動下載一
款
名為「MiAdBlacklistConfig」的檔案,其中包含449個敏感詞彙,範圍涉及政治人物頭銜
、
人名、宗教或政治團體名稱及社會運動名稱等。
NCSC指控,當「MiAdBlacklistConfig」認定所顯示內容含這些敏感詞彙時,就會封鎖整
個
內容,對資訊自由流通產生重大威脅。當時,國際資訊論壇XDA Develpoers就曾以「看來
可
怕,但並非如此」為題說明背後邏輯。
XDA釋疑,指MiAdBlacklistConfig檔案,是來管理廣告商於小米自有APP中推送的付費廣
告
內容,以保護使用者免受比如色情、暴力、仇恨言論、及可能冒犯當地使用者的資訊。這
一
做法在智慧型手機與社群網站規範管理是很常見的做法與規範。
XDA也以該款手機進行實測,發現在「Mi Video」這款APP中確實有找到「MiAdBlacklistC
on
fig」這個檔案,裡面也確實有很多關於宗教、政治團體或社會運動的名稱,但也有包含
非
常多「其他的」名詞,且「MiAdBlacklistConfig」檔案中包含的字詞數量,也遠比立陶
宛N
CSC所指稱的449個為多,大約有2210個;其中絕大多數是性愛、色情及其他智慧型手機廠
牌
的名稱。
而關於政治敏感詞彙中,雖然有出現西藏、香港等詞,但同時也包含了中國、中國共產黨
等
不算敏感的詞彙。相比於中國或中國共產黨,敏感性更高的一些中國官員名字出現的頻率
更
低;如果「MiAdBlacklistConfig」真的是一份幫助中共當局封鎖網站內容的黑名單,那
麼
關於中國的字詞都不應出現在這份名單上才對。
再者,依據XDA實測發現,小米的漢語拼音「Xiaomi」也在這分名單中,如果「MiAdBlack
li
stConfig」真的用以審查敏感字詞並封鎖內容,小米幹嘛封鎖自己?
再進一步分析程式碼,XDA發現,這些詞彙是用來過濾廣告的;事實上,小米在2019年以
前
幾乎對於廣告內容沒有管制,導致一些含有色情內容或粗俗字眼的廣告,也會不受限制地
出
現在用戶的推播訊息中,長期以來為使用者詬病。
當然,這項技術確實有可能被不當應用在侵犯用戶隱私權的目的上,但問題是,現在就是
找
不到小米有任何把這項技術用在此一不當用途上的證據;再加上小米與中國共產黨的關係
不
若華為深厚,美國也沒有將小米列為「中國共產黨軍事組織」的名單上,所以至少就現階
段
而言,完全沒有必要擔心自己的資料外洩或已被中國政府監控。
XDA Developers是在全球擁有500萬使用者的行動軟體開發社群,該網站的主要目的是討
論
和開發的Android、Windows Phone、Windows Mobile、WebOS、Firefox OS等手機系統,
也
可用於平板電腦和許多其他裝置。
XDA相關查核文章連結https://www.xda-developers.com/xiaomi-secret-blacklist-expl
ai
ned/amp。
請刊登完整全文(否則依板規刪除並水桶)。
5.心得/評論:
到底誰說的是真的啊?
考量到立陶宛跟台灣最近與中國的關係剛好都不太好
最近選舉又快到了
難道真的是烏龍一場嗎
台灣不是主要市場 小米市佔又是全球前三大
小米手機賣到美國、日本、歐洲那麼多國難道都沒人反應這個資安問題?
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.158.149.88 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1641702930.A.FB7.html
華碩沒聽過跟資安有關的宣傳
※ 編輯: gve50714 (49.158.149.88 臺灣), 01/09/2022 12:47:44
... <看更多>
相關內容