台湾媒体雇信息安全公司实测红米“偷偷”回传资料

戴夫寇尔资安研究员岑志豪表示，一般手机在未登录授权启用时，通常不会回传手机序号或手机号码；同样的，也少见会回传接收简讯者的手机号码。

芬安全亚洲实验室测试结果，红米手机在开机连网后，发现会连上api.account.xiaomi.com伺服器，回传手机序号（IMEI）码（上图）及手机号码（下图）给该小米伺服器。台湾小米官方则回复，开机后是为了验证手机是否为真品，且确认双方皆为小米机，才能使用网路简讯功能。

戴夫寇尔侧录红米机，回传应用程式清单

资安公司戴夫寇尔执行长翁浩正测试一支已经正常使用多时的红米机，其中只安装少数基本App，进行封包侧录。他表示，一开机，红米机就会把所有作业系统安装的程式名称传送到小米主机（http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php），不过，Google上找不到这个 URL及Domain相关资料，并不知道用途。他认为，一般手机狠少会将使用者的应用程式清单全数回传给手机业者，这是他测试红米手机最感到不解之处。

接著测试，翁浩正打开安全中心，发现资料回传到pmir.3g.qq.com伺服器，但因为资料内容加密，无法得知传送内容为何。开机不久，他也从手机中看到，系统连线至小米位于北京的伺服器 223.202.68.9 （out68-9.mxzwb3.hichina.com），也不知道传送什么资料。在系统输入文字时，会传送至「友盟 umeng」搜集使用者资料以及统计数据（https://www.umeng.com/app_logs），但不知道传送内容为何。

翁浩正测试红米机时，发现很多连回小米伺服器的封包记录，但他说，连线内容加密，加上狠难确定哪个程式有无恶意或在传送什么资料，因此要检测一个手机是否有恶意程式，需要数个月时间来分析App、系统、底层。就他简单测试，只能知道红米手机有「搜集」的事实。

戴夫寇尔执行长翁浩正测试红米手机时表示，平常很少见到会回传应用程式清单，这是他测试时最大的不解。不过，台湾小米官方则回复，主要是使用者启用云备份，未来换新手机时，直接下载使用。

小米官方回复，一切都是正常连线且不涉及个人隐私

台湾小米官方回复指出，手机一开机后的连线行为，是为了回传IMEI确认是否为正货，并确认该号码是否申请过小米帐号；而传送简讯时，要验证手机号码，是为了确认双方都是小米手机，才能使用网路简讯；登录小米云服务所回传的资料，则是依照使用者设定，才能同步使用者手机资料。而回传应用程式清单，台湾小米官方答覆，主要是使用者开启小米云备份功能，会同步使用者下载App，当使用者换新手机时，可以直接由云备份直接下载即可。

台湾小米官方表示，未经用户允许，不会主动上传涉及使用者隐私的个人资讯和资料，而其他包含个人隐私的个人资料、照片、简讯等，预设都是关闭相关网路服务，需要使用者主动开启，也可以随时关闭。若是网路服务需要连回总公司伺服器验证，所传输的资料都不涉及使用者隐私。

附原文链接：http://www.ithome.com.tw/news/89991