面对“小米隐私门”事件,被称为发烧友之友的小米如何应对?一系列事件的背后又折射出了哪些深层次的问题?
就像是互联网发展的副作用一样,个人隐私问题开始慢慢凸显。IT行业高速发展的近十年时间,甚至从某个角度上,也可以说是网络安全问题持续爆发的十年。微软、谷歌、苹果等厂商至今时不时还被各种用户隐私泄露的官司或事件所缠身。比如近甚嚣尘上的iCloud好莱坞女明星私密照泄露事件。
可岂料传说中从来属于国际巨头们的“专利”竟有一天砸中了一家崛起不久的中国品牌。被奉为“发烧友”之友或是“屌丝之友”的小米,这一次,栽了……相对于还在持续发酵,尚不清楚真相究竟如何的iCloud“女明星事件”,小米这次的事情来龙去脉已经非常清晰,所以下面我们就该次事件做一个梳理和分析,至于iCloud事件,虽然苹果已经发布声明,声称与旗下的iCloud服务本身没有关系,但毕竟是单方面的表态,我们还是静待水落石出的一天吧。
7月18日
有媒体报道,香港红米Note用户发现自己的手机一开机就会把所有的个人资料持续和小米公司的北京服务器“连线”。此事曝光之后,引发各大媒体疯狂转发。
7月20日
香港媒体unwire获得了小米官方的回应澄清。小米声明:这些都是“小米账户”和“小米云服务”中“不涉及用户隐私的互联网服务”,只是推荐短信、主题、MIUI的OTA升级包等内容,这些数据仅仅是需要连接到总公司的服务器进行验证。而且,小米云服务是可选的,用户可以随时开关。
随后
有香港网友在IMA Mobile论坛上发帖证实,自己将红米1s手机升级到新的版本后,再进行重新设定,并将小米服务预设关闭,发现仍有很多服务自动连线北京小米服务器。之后,他再进行刷机,并卸载所有小米服务及内置程式,同时加装防火墙后,系统仍能连线北京服务器;甚至关闭了“网路简讯”(即网络短信)功能后,仍能够连线至北京小米服务器。
8月8日
我国台湾省资安公司芬安全F-Secure的一份测试报告显示,即使在小米账户和云服务没有开启的情况下,小米手机也会将部分用户数据传输到其服务器上。
F-Secure位于马来西亚的实验室选择了一台未拆封的红米1s手机进行测试,这台手机并没有经过任何设置(即没有开启小米云服务)。然后,他们通过了以下步骤去测试小米的数据连接:插入SIM卡,连接到F-Secure自己的无线网络,允许GPS位置服务,新增一个联系人到通讯录,分别发送和接受一个短信和彩信,拨打/接听电话。
F-Secure发现,手机在启动时就会发送用户正在使用的运营商名称、手机的IMEI(国际移动身份识别码)和电话号码(包括通讯录中的和短信的来源号码)到api.account.xiaomi.com这样一个服务器地址。而他们打开了小米云服务重复了以上步骤,发现这一次还包括了IMSI(国际移动用户识别码)。另外,手机还会把已经安装的应用程序名单传送到policy.app.xiaomi.com服务器。
8月10日
小米科技在Facebook上发布紧急声明,证实的确有一个内置于小米手机系统内的“网路简讯”服务,在未经使用者同意的情况下会自动启动,将使用者的电话号码、IMSI(国际移动用户识别码)及IMEI码(国际移动装置识别码)回传到小米服务器上。另外,小米也证实了透过这个网路简讯服务回传北京的使用者电话号码没有加密,而是采用明码传递。
同时,小米紧急发放了系统更新文件,将原来默认开启的功能改为用户启动才会生效。
8月16日
F-Secure发布后续追踪测试结果,表示小米手机在安装更新档案后,确实已经将先前引起争议的云讯息改为缺省关闭,同时在功能开启时也会透过base-64与https安全加密传输,而包含联系人、简讯与电话功能也不会把资料传递给北京服务器。
但同时,也有大量使用小米2S的网友抱怨称升级之后内置的浏览器不见了,同时还有部分用户反映这次更新影响到了Line软件的部分功能,更有网友直言小米“越改越烂”。
小米是一家行动互联网公司,致力于提供高质量的手机和优质的互联网服务,同时非常重视保护用户私隐。小米提供的所有互联网服务均符合小米公司私隐条款:未经用户允许,不会主动上传涉及用户私隐的个人信息和数据。
基于近日的媒体报道,部分用户对“网络简讯”自动启动后的个人私隐数据传送的担忧,小米公司非常重视,已组织工程师连夜加班,并于今天(8月10日)发布OTA升级包,关闭“网络简讯”自动启动功能,升级后,所有新用户或将手机恢复出厂设定的旧有用户,如希望开启“网络简讯”可经由“设置>小米云服务>自由网简讯”,或至简讯应用中启动该服务。
小米公司对给用户造成困扰表示诚挚歉意,也感谢广大媒体、用户第一时间给我们反馈问题和修正机会,给小米更快进步空间,为用户持续提供更优质更安全的互联网服务。
不得不说,这是一次小米品牌的公关危机。然而小米却在先后两次声明中做出了截然相反的答复。且不论7月20日的官方回复有多少敷衍的成分,单看时隔长达3周之后《关于“网络简讯”的紧急声明》,就足以看出小米对于此次事件的态度。
首先,小米在声明中第一部分就说到自己“非常重视保护用户私隐……小米提供的所有互联网服务均符合小米公司私隐条款:未经用户允许,不会主动上传涉及用户私隐的个人信息和数据”。其潜台词很明显,小米很注重用户隐私,你们的数据会上传完全是因为你们(允许)开启了“网络简讯”—虽然我没有明确告诉你它会自动上传你的隐私。所以我们之前的做法是合法而且合乎情理的。
其次,你们很担忧,所以我们“非常重视”并组织攻城狮“连夜加班”来为你们解决烦恼—嗯,我们很有诚意。但是请注意,小米通篇未提及F-Secure的测试是否正确,也未明确自责对于用户隐私保护的轻视或者是忽略。当然,小米在声明的字面上注明了“表示诚挚歉意”,但仅仅是针对给用户造成的困扰。
再者,小米甚至未提到为何要搜集正在使用的运营商名称、手机的IMEI和IMSI、电话号码(包括通讯录中的和短信的来源号码),以及手机上的应用程序名单,也未提及此前已经被上传的这些资料将作如何处理。
后,小米公司这份声明后面还有长达整整一千字的Q&A,其中提及“用户的个人私隐信息,包括电话号码和通讯簿等信息,都不会储存在‘网络简讯’小米服务器上。经加密处理的传输信息内容,也不会被保留于小米服务器上”。但问题是,种种测试表明,小米手机此前自动回传用户信息都是采用的明码发送。
熟悉互联网安全的朋友都知道,如果将用户个人资料采用明码发送至服务器,一般具备相当电脑能力的网管人员,利用网络监听工具可以在同一个网络环境中,侦测到手机所发送的网路封包,来取得真实电话号码,不需要经过破解。
因此,小米隐私门真正的受害者不仅仅是港台用户,而是所有未获知情权的小米用户。而8月10日的这份声明是小米在Facebook放出的,而在大陆这边的小米官网和官方新浪微博上,均找不到同样的声明文字。而这一点继续让小米再跌了一个跟头。
红米Note在香港地区的活动频繁,销量也还不错,在用户数量逐渐增大的同时,小米更应该加强用户隐私的安全保护。
作为《窃听风云》的编剧、导演,庄文强在接受媒体采访时曝光:“以前我们拍类似影片,道具需要用到电线,需要安装。但现在这些工具早已被淘汰。现在真正的窃听,是根本不用安装任何窃听器的。拍《窃听风云》前,我们的道具人员帮我们去找这些东西的时候,发现在深圳华强北买的比自己制作的更便宜和精美,那里有现成的打火机窃听器卖,而且什么牌子都有—我们在创作时能想得到的可能性,人家早已在销售了。
庄文强还透露:“我认识一个黑道大哥,他每次出来都有三部手机在身上,谈事的时候找没人的地方,把手机电池拆掉,一起装进随身带的塑胶袋里。他们每个人身上都带四五张电话卡,这样让他们觉有安全感。”随后开玩笑说,“知不知道为什么黑帮谈判喜欢到浴室里谈?因为电子设备一般是不能在水中使用的,洗桑拿你不能穿着衣服下水吧。”
8月29日,中央电视台《朝闻天下》栏目曝光了小米窃取用户隐私。该报道给出了小米4的画面,并提到小米窃取用户隐私首先是被中国台湾省监管机构发现,以及小米公司的紧急声明。之后,《朝闻天下》称栏目组向小米公司发出了“大陆用户隐私回传”的相关质疑,但小米公司没有回应。
由于涉及到中国大陆企业在海外市场的拓展现状,事情闹到登上央视的地步,可就真的很大条了。截至本刊发稿日,小米公司亦未通过官网、微博、微信或是其他媒体等有效途径释放出相关回应和说明。
实际上,早在2012年6月11日,国内知名漏洞报告平台“乌云”就曾曝光小米手机MIUI系统存在漏洞,可造成用户短信、联系人、密码等大量敏感数据泄露,涉及所有MIUI版本。
“乌云”爆料称,小米手机的MIUI系统存在高危漏洞,直接将用户隐私数据明文备份在SD卡中,包括联系人列表、短信内容、Wi-Fi密码以及本地应用程序的私有数据等。同时,MIUI也未对备份信息进行加密,使小米用户面临极大的安全风险。任何一款安装在MIUI上的手机程序,都可轻易获取小米用户隐私,甚至安装不良扣费软件。
同年7月30日,小米公司发表声明,称小米本地备份功能仅是将数据备份至本地SD卡,并未上传或泄露用户隐私数据,小米手机MIUI绝无私自泄露用户隐私。为了防止恶意程序读取本地SD卡备份数据,小米手机将后续更新中加入本地备份数据加密功能。
联系到两年前的这一漏洞事件,有业内人士调侃说:“现在看来小米不仅是轻视用户隐私有前科,安全风险有前科,就连迟钝的公关处理动作都是有前科的。”
更悲剧的是,在小米官方声明问世后不久,据新加坡媒体《海峡时报》报道,一名新加坡的小米用户近日向新加坡有关部门投诉,他的个人信息在未经同意的情况下被披露,他在使用小米手机后,收到很多来自外国的垃圾电话。
虽然,这一投诉还在新加坡个人信息保护委员的调查中,也很难说其个人信息一定是由小米手机泄露出去的,但不可否认的是,这样的新闻很轻易地就会让所有人将之与正在风口浪尖上的小米联系起来—尽管小米这一次有很大可能是被“冤枉”了。
虽然看不见摸不着,但安全问题实际上一直都存在于每一个网络用户的身边。曾经有位输入法开发者透露,输入法可能就是懂你的知己,因为在手机上即使是输入银行密码,都需要你靠输入法来完成(电脑上可以用小键盘不通过输入法输入)。从斯诺登到《窃听风云》,从“XX神器”到“灰鸽子”,或许你可能觉得这些依然遥远。但是,你是否知道,没有人比你的手机更懂你。它知道你常联系的朋友是谁,它记录下你情绪激动时想说却又删掉了的话,它知道你的大姨妈周期,它知道你的银行账户……
针对这次小米的隐私门,我们后从三个角度来聊聊。
从用户角度来讲,或许绝大多数用户和媒体也不会拿着全球严格的安全标准来要求一家刚做出一些成绩的企业新贵,更何况是一家拥有广大粉丝基础的厂商。通过此前斯诺登和《窃听风云》系列,我们早已知道如果要网络购物、注册网站服务或者经常与陌生人通话又不想暴露你的真实身份,那么简单的办法就是购买一次性预充值的廉价手机(卡),或者囤几个过时的非智能手机,用完预存话费后随手将电话卡丢入下水道里。此外,如果想向移动运营商隐藏你的位置信息,手机关机再拔掉电池必须形成常态。手机安全问题从未有过完美的解决方法,也没有人愿意因此而过着公元前的生活,但这并不意味着用户对于个人隐私的不重视。但小米在声明中隐隐透露出的态度问题,以及对大陆用户的不告知、不提醒、不处理,却切切实实地会影响到用户的信任度。
苹果iCloud女明星私密照泄露事件再一次为整个行业的云服务敲响了警钟,不管是运营者还是使用者,都需要有更高的警惕。
从小米来说,这次事件在印度曝光后,有国际友人在《印度时报》留下“小米此举与华为类似”、“抵制中国手机”之类的评论。从积极的一面来看,此次事件充分展示了小米在海外市场已经具备了一定的品牌知名度和影响力。但是在小米昂首迈向国际化的重要时刻,“隐私门”事件对于小米造成的信任危机,将不可避免地对其预期的销售目标造成严重影响。尤其是,小米在此次事件中表现出对个人隐私保护、安全风险问题的漠视,以及其针对此次隐私门公关处理方式的“不完美”,给更多走在国际化道路上的国产智能手机品牌敲响了警钟。
从行业来说,有微软、谷歌、苹果等一众巨头的前车之鉴,隐私门真不是天大的事情。但针对此次小米手机引起隐私争议,我国台湾省相关机构近日计划研拟未来厂商手机产品在出厂时进行硬件与内建App资安检验认证,同时未来也规划规范由业者自行送审,或公开信息两种方式确认产品安全性。那么大陆手机产业圈是否也能够构建一些可以让厂商和用户有所倚重的标准,以解决一些不必要的麻烦呢?
后,我们要聊到的是黑客通过攻陷iCloud密码获得了好莱坞一些女明星的私密照。虽然苹果已经发表声明称该次事件与苹果本身的服务关系不大,都是猜到用户名后进行密码破解。但显然这并不足以说服大家,苹果作为服务提供者,没有一丝一毫的责任。在云服务盛行的今天,看不见摸不着的云服务器上存储了太多用户的敏感信息,用户也在更大范围更高频率地持续使用云服务。“云”的概念不管是从运营者还是从使用者的角度来看,都得到了飞速的发展,但是很显然,运营者对用户的敏感信息安全问题并没有足够的重视,安全机制与安全管理并没有跟上发展的步伐;使用者对自己的敏感信息也没有足够的警惕,似乎操作过程中没有第三者的介入就是私密并且安全的,殊不知这些信息经过网络存储到云服务器上,一路上会经过多少安全陷阱。小米是我们今天聊到的话题,但这并不是小米一家的问题,云服务的安全性是整个行业面临的问题,技术、环境与意识的提高,不是一蹴而就,但显然目前大家可以做得更好一些。