จากกรณี Xiaomi Redmi Note แอบส่งรูปถ่ายและข้อความกลับไปยังเซิร์ฟเวอร์ในจีน บริษัทความปลอดภัย F-Secure เลยตัดสินใจทดสอบเรื่องนี้ครับ
ทีมงาน F-Secure ใช้อุปกรณ์ทดสอบเป็น Xiaomi RedMi 1S เครื่องใหม่แกะกล่องโดยไม่ตั้งค่าใดๆ และไม่สร้างบัญชีผู้ใช้ใหม่ตั้งแต่ตอนเปิดเครื่อง จากนั้นใส่ซิมการ์ด, ต่อ Wi-Fi, เปิด GPS, เพิ่มรายชื่อในสมุดที่อยู่, รับส่ง SMS และโทรออก/รับสาย กระบวนการทั้งหมดถูกดักจับทราฟฟิกอินเทอร์เน็ตที่วิ่งเข้าออกจากเครื่อง
ผลคือ RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, หมายเลขโทรศัพท์ของ SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com (หลังจากนั้น F-Secure ทดลองล็อกอินบัญชี Mi Cloud และพบว่าข้อมูลถูกส่งกลับไปเช่นกัน)
Xiaomi HK โพสต์อธิบายเรื่องนี้โดยลิงก์ไปยัง Privacy Policy ที่อยู่บนเว็บ ซึ่งระบุว่าเมื่อเปิดใช้โทรศัพท์ Xiaomi เป็นครั้งแรก บริษัทจะเก็บข้อมูล 3 ส่วนคือ
- mobile user identification information
- mobile device unique identification
- location information of your device
เพื่อประโยชน์ด้านการอัพเดตระบบและกู้คืนระบบ อย่างไรก็ตามในนโยบายนี้ไม่ได้ระบุว่าจะเก็บข้อมูลหมายเลขโทรศัพท์ SMS หรือหมายเลขโทรศัพท์ในสมุดที่อยู่ด้วย
ที่มา - F-Secure
อัพเดต Xiaomi แก้ข่าวแล้วนะครับ Xiaomi อธิบายปัญหาส่งข้อมูลกลับว่าเป็นฟีเจอร์ส่ง SMS ฟรีผ่านเน็ต, ออกแพตช์ปิดแล้ว
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
Xiaomi Baidu Edition แต่มันดันเป็นทุก Edition ซะด้วยสิ:P
รอบที่แล้วหลักฐานยังไม่แน่นพอ เห็นแค่ว่ามีการ connect ไปที่ server ของ xiaomi รอบนี้ขอชัด ๆ เลยนะครับ เอาให้หนัก
ผมอยากให้ xiaomi เห็นความสำคัญของ user privacy และลงมาแก้ไขเรื่องนี้ ไม่ใช่เอา Hugo Barra มาชี้แจงสร้างความมั่นใจเฉย ๆ อยากเห็นการแก้ปัญหาไม่ใช่แก้ภาพลักษณ์ครับ
จากผู้ใช้ MI3
จีนก็ยังเป็นจีน
ของ us ก็มี Carrier IQ นะครับปัญหาคือผู้นำต้องการอำนาจจึงแทรกแซง เมื่อเรื่องแดงเดียวก็หยุดไปเอง
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
มันแรงตรงเก็บ SMS นี่แหละ OTP เอยอะไรเอยไปหมดสินะ
ของถูกก็งี้ ต้องยอมเสียบางอย่างแลกกับความถูกที่ได้รับ
เว็บนี้ก็เข้าฟรี ถูกมากนะครับ ;)
my blog
ถ้ามี ads ไม่ถือว่าฟรีครับ
ถ้าจะให้แฟร์ๆ ก็ต้องเทียบกับสินค้าหรือบริการในกลุ่มหรือประเภทเดียวกันสิครับ แหม่ :p
ถูกก็ไม่ใช่ว่าไม่ได้เสียตังค์นะครับ = =
ที่จริงทั้ง iphone และ android ก็เคยมีเรื่องแบบนี้นะครับ
ยังจำ Carrier IQ ใด้หรือไม่
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
จำได้ครับ แต่ตอนนั้นผมใช้ WP
:P
เกี่ยวกับราคาด้วยเหรอ ?
จะถูก หรือจะแพง ก็ไม่ควรครับ
กำลังมาแรงแท้ๆ
งี๊ลง MIUI จะโดนด้วยไม๊ ; ___ ;
น่าคิดครับ ผมก็ว่าจะลง miui เหมือนกัน หยุดเลย
xiaomi เจ้าตายแล้ว แบบนี้ถูกและดีแค่ไหนผมก็ขอผ่าน ขโมย otp กันดื้อๆ เลย
เป็นการเตะขัดขาที่แรงมาก กำลังมารุ่งแท้ๆ ฟังแล้วกลัวเลย
เดี๋ยวก็มีข่าวออกมาแจ้งว่าเป็น Bug หรือเปล่าครับ (ถ้าไม่ ก็ไม่ไหวนะครับ ทำธุรกรรมการเงินด้วยมือถือหลายอย่างเหมือนกัน)
กำลังไปด้วยดีแท้ๆ
เมกากับจีนดักข้อมูลกันหมด ถ้าไม่อยากให้โดนดักข้อมูลเลย คงต้องเลิกใช้คอมกับมือถือครับ
จะให้ถูกควรเป็นรู้จักป้องกันนะครับ ไม่ใช่เลือกใช้
งั้นถ้าไม่อยากให้เกิดเหตุอาชญากรรมเลย ก็ต้องยกเลิกกฎหมายใช่ไหมครับ
เลิกใช้ก็ไม่รอดครับเพราะการกระทำใดๆก็เกี่ยวกับเทคโนโลยีก็ดูดได้หมดเช่นเราเดินผ่าน CCTV ถ้าจะให้ดีตายเลยดีฟ่าครับ แต่ถึงตายก็โดนดักข้อมูลก่อนตายได้อีกงั้นต้องอย่าเกิดมาครับ เกิดเป็นแบคทีเรียก็ยังมีโอกาสโดยดักข้อมูลไปวิจัย :P
เห็นข่าวนี้และข่าวเก่ามีแต่ redmi note ผมว่าน่าสังเกตุนะครับ
ทำไมถึงไม่ทดสอบรุ่นอื่นด้วย? หรือมีปัญหาแค่รุ่นเดียว? ถ้ามีปัญหารุ่นเดียวทำไมถึงจงใจเก็บข้อมูลแค่รุ่นนี้?
A smooth sea never made a skillful sailor.
ทีมงาน F-Secure เขาทดสอบรุ่น Xiaomi RedMi 1S นะครับ ดังนั้นไม่ได้เป็นเฉพาะ Note
อ๋อ ขอบคุณครับ ผมพลาดเอง
A smooth sea never made a skillful sailor.
มีปัญหารุ่นเดียวก็เกินพอแล้วนี่ครับ เขาออกเงินซื้อเครื่องมาทดสอบเอง ไม่ใช่หน่วยงานทดสอบของรัฐ (ซึ่งเจ้าของสินค้าต้องจ่ายค่าทดสอบเอง) จะได้ทดสอบทุกเครื่องได้
lewcpe.com, @wasonliw
ถ้าเป็นแค่รุ่นเดียว xiaomi ยังพออ้างได้ครับว่าเกิดจากความผิดพลาด แต่ตามที่คุณ sakura บอกข้างบน ก็น่าจะบอกแล้วว่าเกิดจากการจงใจ และทาง xiaomi ก็ไม่น่าจะมีข้อแก้ตัวแล้ว
A smooth sea never made a skillful sailor.
คนอุตส่าห์เอาใจช่วย กลับหักหลังแบบนี้ คงจะเจริญหรอก
ไม่สงสัยเลยว่า ทำไมยังไม่ขาย EU กับ US แบบเป็นทางการ
ขายแต่ประเทศ แถว ๆ นี้
Xiaomi ส่งข้อมูลกลับ Server CN ส่วน F-Secure ส่งข้อมูลกลับ Server EU ? น่ะ
เป็น middle man attack ครับ
ว่าง่ายๆ คือมือถือจะส่งข้อมูลไปที่ Server CN นั้นแหละ แต่โดนดักข้อมูลกลางทาง (อาจเป็น proxy ภายในที่ตั้งโดย F-Secure เอง) จากนั้นก็แกะดูว่ามือถือส่งข้อมูลอะไรออกไป
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
จริงๆ ใช้ Cain หรือ Wireshark ดู Package ที่วิ่งออกมาบน Network ก็ได้แล้วครับ
ดีครับ
ผมอ่านต้นฉบับแล้ว เหมือนเนื้อความสื่อไม่ตรงกันซะทีเดียวนะครับเรื่อง SMS ที่ได้รับ เหมือนตัวเนื้อหา SMS จะไม่ได้ถูกส่งนะครับ เฉพาะ เบอร์โทร
ต้นฉบับเขียนว่า
"The phone number of contacts added to the phone book and from SMS messages received was also forwarded."
เนื้อข่าวเขียนว่า
"RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com "
โอ้ แก้ตามนั้นครับ อันนี้อ่านพลาดไปหน่อย ขออภัยครับ
ผมเห็นด้วยนะ พอคำว่า from ตรงนี้ ทำให้กลายเป็นแค่เบอร์โทรผู้ส่ง SMS เท่านั้น
แต่ก็นั่นแหล่ะ จะเอาเบอร์โทรศัพท์ใน phone book กับเบอร์คนส่ง SMS ไปทำไม
ที่ผมคิดได้นะ เอาเบอร์คนมาส่ง SMS โฆษณาแบบเจาะจงคนครับ โดยเริ่มต้นให้ hao123 กับ PC Faster เข้าไปสำรวจ PC ให้เรียบร้อยแล้วเอา เสี่ยวหมี่ ดูด เบอร์เพื่อเอามาวิเคราะห์โฆษณา หรือร้ายกว่านั้นร่วมมือกับโอเปอร์เรเตอร์ในการติดตามคนจากซิมทโทรศัพท์ ไปไกล:P
ถ้าไม่ได้ส่งข้อความใน sms กลับมันก็ไม่ต่างจากมือถือรุ่นก่อนนี้ที่มีข่าวว่าส่งข้อมูลกลับเท่าไหนะครับ
กรรม ตอนแรกอุส่าเชียร์ เจอแบบนี้ไปละเงิบเลย
ประเทศจีนนี่เขารู้จักคำว่าซื่อสัตย์ต่อผู้บริโภคบ้างหรือเปล่าเนี่ย?
มิน่า S3 live demo unit ของผม ทำยังไงก็ล๊อคอิน xiomi ไม่ได้ เพราะไม่มีอะไรให้ดูด sim ไม่มี operator ไม่มี imei ไม่มี SMS ยิ่งไม่มีใหญ่ เลยอด
สงสัยต้องกลับไปใช้ 3310 ละมั้งเนี่ยครับ
ปลอดภัยหายห่วง เหรอ???
ระบบ GSM ก็ใช่ว่าจะปลอดภัยนะ
Design สวยดี สเปคก็ดี ไม่น่าทำร้ายตัวเองเลย
Xiaomi แก้ข่าวแล้วนะครับ Xiaomi อธิบายปัญหาส่งข้อมูลกลับว่าเป็นฟีเจอร์ส่ง SMS ฟรีผ่านเน็ต, ออกแพตช์ปิดแล้ว
แบบนี้อ่าน OTP ได้ด้วยหรือเปล่าครับ