Xiaomi また個人情報を無断送信
先日Xiaomiがこっそり個人情報をXiaomiのサーバーに送信しているとい記事を紹介しました。
結局よくわからない回答で終わってしまったようですが、今回はしっかりと個人情報をこっそり自社サーバーに送信していることを検証されてしまいました。
しかも前回よりもしっかりと追跡されているようです。
今回調査したのはフィンランドのセキュリティ会社です。
まず、ユーザーアカウントやクラウドサービスの設定をしていない状態でSIMカードを挿入します。
その後無線LANに接続した後、GPSを有効にします。
そして新しいスマートフォンに、新しい連絡先を登録して、SMSなど使用します。
その結果、Xiaomiのサーバーに使用しているキャリアと電話番号、IMEIまで送信されていることが確認できました。
さらにはスマートフォンに登録された電話番号やSMSメッセージを送信した相手の電話番号も送信されていました。
加えて、Xiaomiが提供しているクラウドサービスにログインした後同様の実験を行うと、上記情報に加えてIMSIまで送信していることが判明しました。
この情報が伝えられたところ、Googleから転職してXiaomiの副社長に就任したヒューゴバラ氏が直接解明に乗り出すことを表明しました。
今回の件は、XiaomiのクラウドメッセージサービスがデフォルトでONになっていることで発生したようです。
これはアップルのiMessageのように、SIMカードと電話番号、IMSI、IMEIを開始、ユーザー間のメッセージを送信できる機能です。
そこで更新版では、クラウドメッセージサービスをデフォルトでOFFにし、さらにサーバーに送信される情報を暗号化するようにしました。
なお先日発覚した写真やメッセージを転送する疑惑は、その転送先が中国情報産業部所属の中国インターネット情報センターに送信されていたことが確認されました。(; ̄Д ̄)
Xiaomiのスマートフォンは、安くて高性能なのですが、セキュリティが非常に甘いようです。
本当にセキュリティが単純に甘いのか、それとも意図的なのかは不明ですが・・・。
[ソース:TNW]