Tags:
Node Thumbnail

จากกรณี Xiaomi Redmi Note แอบส่งรูปถ่ายและข้อความกลับไปยังเซิร์ฟเวอร์ในจีน บริษัทความปลอดภัย F-Secure เลยตัดสินใจทดสอบเรื่องนี้ครับ

ทีมงาน F-Secure ใช้อุปกรณ์ทดสอบเป็น Xiaomi RedMi 1S เครื่องใหม่แกะกล่องโดยไม่ตั้งค่าใดๆ และไม่สร้างบัญชีผู้ใช้ใหม่ตั้งแต่ตอนเปิดเครื่อง จากนั้นใส่ซิมการ์ด, ต่อ Wi-Fi, เปิด GPS, เพิ่มรายชื่อในสมุดที่อยู่, รับส่ง SMS และโทรออก/รับสาย กระบวนการทั้งหมดถูกดักจับทราฟฟิกอินเทอร์เน็ตที่วิ่งเข้าออกจากเครื่อง

ผลคือ RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, หมายเลขโทรศัพท์ของ SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com (หลังจากนั้น F-Secure ทดลองล็อกอินบัญชี Mi Cloud และพบว่าข้อมูลถูกส่งกลับไปเช่นกัน)

Xiaomi HK โพสต์อธิบายเรื่องนี้โดยลิงก์ไปยัง Privacy Policy ที่อยู่บนเว็บ ซึ่งระบุว่าเมื่อเปิดใช้โทรศัพท์ Xiaomi เป็นครั้งแรก บริษัทจะเก็บข้อมูล 3 ส่วนคือ

  • mobile user identification information
  • mobile device unique identification
  • location information of your device

เพื่อประโยชน์ด้านการอัพเดตระบบและกู้คืนระบบ อย่างไรก็ตามในนโยบายนี้ไม่ได้ระบุว่าจะเก็บข้อมูลหมายเลขโทรศัพท์ SMS หรือหมายเลขโทรศัพท์ในสมุดที่อยู่ด้วย

ที่มา - F-Secure

อัพเดต Xiaomi แก้ข่าวแล้วนะครับ Xiaomi อธิบายปัญหาส่งข้อมูลกลับว่าเป็นฟีเจอร์ส่ง SMS ฟรีผ่านเน็ต, ออกแพตช์ปิดแล้ว

Get latest news from Blognone

Comments

By: pasuth73
iPhoneWindows PhoneAndroidUbuntu
on 10 August 2014 - 13:28 #730159

Xiaomi Baidu Edition แต่มันดันเป็นทุก Edition ซะด้วยสิ:P

By: Alpha Version
ContributorWindows
on 10 August 2014 - 13:37 #730162
Alpha Version's picture

รอบที่แล้วหลักฐานยังไม่แน่นพอ เห็นแค่ว่ามีการ connect ไปที่ server ของ xiaomi รอบนี้ขอชัด ๆ เลยนะครับ เอาให้หนัก

ผมอยากให้ xiaomi เห็นความสำคัญของ user privacy และลงมาแก้ไขเรื่องนี้ ไม่ใช่เอา Hugo Barra มาชี้แจงสร้างความมั่นใจเฉย ๆ อยากเห็นการแก้ปัญหาไม่ใช่แก้ภาพลักษณ์ครับ

จากผู้ใช้ MI3

By: mba
iPhoneAndroidWindows
on 10 August 2014 - 13:47 #730163

จีนก็ยังเป็นจีน

By: put4558350
ContributorAndroidUbuntuWindows
on 11 August 2014 - 01:53 #730344 Reply to:730163
put4558350's picture

ของ us ก็มี Carrier IQ นะครับปัญหาคือผู้นำต้องการอำนาจจึงแทรกแซง เมื่อเรื่องแดงเดียวก็หยุดไปเอง


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: pd2002 on 10 August 2014 - 13:52 #730165

มันแรงตรงเก็บ SMS นี่แหละ OTP เอยอะไรเอยไปหมดสินะ

By: gosol
AndroidWindows
on 10 August 2014 - 13:53 #730167
gosol's picture

ของถูกก็งี้ ต้องยอมเสียบางอย่างแลกกับความถูกที่ได้รับ

By: lingjaidee
ContributoriPhoneAndroid
on 10 August 2014 - 14:00 #730173 Reply to:730167
lingjaidee's picture

เว็บนี้ก็เข้าฟรี ถูกมากนะครับ ;)


my blog

By: PandaBaka
iPhoneAndroidWindows
on 10 August 2014 - 14:25 #730186 Reply to:730173
PandaBaka's picture

ถ้ามี ads ไม่ถือว่าฟรีครับ

By: nrml
ContributorIn Love
on 10 August 2014 - 14:27 #730187 Reply to:730173
nrml's picture

ถ้าจะให้แฟร์ๆ ก็ต้องเทียบกับสินค้าหรือบริการในกลุ่มหรือประเภทเดียวกันสิครับ แหม่ :p

By: Perl
ContributoriPhoneUbuntu
on 10 August 2014 - 15:20 #730188 Reply to:730167
Perl's picture

ถูกก็ไม่ใช่ว่าไม่ได้เสียตังค์นะครับ = =

By: put4558350
ContributorAndroidUbuntuWindows
on 10 August 2014 - 15:39 #730206 Reply to:730188
put4558350's picture

ที่จริงทั้ง iphone และ android ก็เคยมีเรื่องแบบนี้นะครับ

ยังจำ Carrier IQ ใด้หรือไม่


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Perl
ContributoriPhoneUbuntu
on 10 August 2014 - 15:50 #730208 Reply to:730206
Perl's picture

จำได้ครับ แต่ตอนนั้นผมใช้ WP

:P

By: cheewapat
AndroidSUSEWindows
on 10 August 2014 - 14:28 #730189 Reply to:730167

เกี่ยวกับราคาด้วยเหรอ ?

By: iCyLand
iPhoneAndroidRed HatUbuntu
on 10 August 2014 - 14:44 #730195 Reply to:730167
iCyLand's picture

จะถูก หรือจะแพง ก็ไม่ควรครับ

By: ryudia
AndroidWindows
on 10 August 2014 - 13:59 #730172
ryudia's picture

กำลังมาแรงแท้ๆ

By: AdmOd
iPhoneWindows
on 10 August 2014 - 14:00 #730174
AdmOd's picture

งี๊ลง MIUI จะโดนด้วยไม๊ ; ___ ;

By: sabayjoo_ on 10 August 2014 - 16:18 #730211 Reply to:730174

น่าคิดครับ ผมก็ว่าจะลง miui เหมือนกัน หยุดเลย

By: wichate
Android
on 10 August 2014 - 14:02 #730175

xiaomi เจ้าตายแล้ว แบบนี้ถูกและดีแค่ไหนผมก็ขอผ่าน ขโมย otp กันดื้อๆ เลย

By: Jaddngow
AndroidUbuntuWindows
on 10 August 2014 - 14:03 #730176
Jaddngow's picture

เป็นการเตะขัดขาที่แรงมาก กำลังมารุ่งแท้ๆ ฟังแล้วกลัวเลย

By: Krit04
iPhoneWindows
on 10 August 2014 - 14:06 #730179
Krit04's picture

เดี๋ยวก็มีข่าวออกมาแจ้งว่าเป็น Bug หรือเปล่าครับ (ถ้าไม่ ก็ไม่ไหวนะครับ ทำธุรกรรมการเงินด้วยมือถือหลายอย่างเหมือนกัน)

By: jaideejung007
ContributorWindows PhoneWindows
on 10 August 2014 - 14:10 #730182
jaideejung007's picture

กำลังไปด้วยดีแท้ๆ

By: LinkWii1GT
iPhoneAndroidWindows
on 10 August 2014 - 14:46 #730197
LinkWii1GT's picture

เมกากับจีนดักข้อมูลกันหมด​ ถ้าไม่อยากให้โดนดักข้อมูล​เลย​ คงต้องเลิกใช้คอมกับมือถือครับ

By: notarry on 10 August 2014 - 15:13 #730198 Reply to:730197

จะให้ถูกควรเป็นรู้จักป้องกันนะครับ ไม่ใช่เลือกใช้

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 10 August 2014 - 15:32 #730202 Reply to:730197
Thaitop_BN's picture

งั้นถ้าไม่อยากให้เกิดเหตุอาชญากรรมเลย ก็ต้องยกเลิกกฎหมายใช่ไหมครับ

By: pasuth73
iPhoneWindows PhoneAndroidUbuntu
on 10 August 2014 - 16:23 #730212 Reply to:730197

เลิกใช้ก็ไม่รอดครับเพราะการกระทำใดๆก็เกี่ยวกับเทคโนโลยีก็ดูดได้หมดเช่นเราเดินผ่าน CCTV ถ้าจะให้ดีตายเลยดีฟ่าครับ แต่ถึงตายก็โดนดักข้อมูลก่อนตายได้อีกงั้นต้องอย่าเกิดมาครับ เกิดเป็นแบคทีเรียก็ยังมีโอกาสโดยดักข้อมูลไปวิจัย :P

By: Golflaw
ContributoriPhoneAndroidWindows
on 10 August 2014 - 15:17 #730199
Golflaw's picture

เห็นข่าวนี้และข่าวเก่ามีแต่ redmi note ผมว่าน่าสังเกตุนะครับ
ทำไมถึงไม่ทดสอบรุ่นอื่นด้วย? หรือมีปัญหาแค่รุ่นเดียว? ถ้ามีปัญหารุ่นเดียวทำไมถึงจงใจเก็บข้อมูลแค่รุ่นนี้?


A smooth sea never made a skillful sailor.

By: sakura
ContributorWindows PhoneSymbian
on 10 August 2014 - 15:25 #730200 Reply to:730199

ทีมงาน F-Secure เขาทดสอบรุ่น Xiaomi RedMi 1S นะครับ ดังนั้นไม่ได้เป็นเฉพาะ Note

By: Golflaw
ContributoriPhoneAndroidWindows
on 10 August 2014 - 20:48 #730267 Reply to:730200
Golflaw's picture

อ๋อ ขอบคุณครับ ผมพลาดเอง


A smooth sea never made a skillful sailor.

By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 August 2014 - 16:46 #730214 Reply to:730199
lew's picture

มีปัญหารุ่นเดียวก็เกินพอแล้วนี่ครับ เขาออกเงินซื้อเครื่องมาทดสอบเอง ไม่ใช่หน่วยงานทดสอบของรัฐ (ซึ่งเจ้าของสินค้าต้องจ่ายค่าทดสอบเอง) จะได้ทดสอบทุกเครื่องได้


lewcpe.com, @public_lewcpe

By: Golflaw
ContributoriPhoneAndroidWindows
on 10 August 2014 - 20:49 #730268 Reply to:730214
Golflaw's picture

ถ้าเป็นแค่รุ่นเดียว xiaomi ยังพออ้างได้ครับว่าเกิดจากความผิดพลาด แต่ตามที่คุณ sakura บอกข้างบน ก็น่าจะบอกแล้วว่าเกิดจากการจงใจ และทาง xiaomi ก็ไม่น่าจะมีข้อแก้ตัวแล้ว


A smooth sea never made a skillful sailor.

By: kadeep
AndroidUbuntuWindows
on 10 August 2014 - 15:33 #730203
kadeep's picture

คนอุตส่าห์เอาใจช่วย กลับหักหลังแบบนี้ คงจะเจริญหรอก

By: ttaiw
AndroidUbuntu
on 10 August 2014 - 16:08 #730210

ไม่สงสัยเลยว่า ทำไมยังไม่ขาย EU กับ US แบบเป็นทางการ
ขายแต่ประเทศ แถว ๆ นี้

By: gsoftthai
Windows PhoneAndroidUbuntuWindows
on 10 August 2014 - 17:27 #730223
gsoftthai's picture

Xiaomi ส่งข้อมูลกลับ Server CN ส่วน F-Secure ส่งข้อมูลกลับ Server EU ? น่ะ

By: put4558350
ContributorAndroidUbuntuWindows
on 10 August 2014 - 18:16 #730235 Reply to:730223
put4558350's picture

เป็น middle man attack ครับ

ว่าง่ายๆ คือมือถือจะส่งข้อมูลไปที่ Server CN นั้นแหละ แต่โดนดักข้อมูลกลางทาง (อาจเป็น proxy ภายในที่ตั้งโดย F-Secure เอง) จากนั้นก็แกะดูว่ามือถือส่งข้อมูลอะไรออกไป


samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: LazarusSP1
ContributoriPhone
on 11 August 2014 - 02:11 #730345 Reply to:730223
LazarusSP1's picture

จริงๆ ใช้ Cain หรือ Wireshark ดู Package ที่วิ่งออกมาบน Network ก็ได้แล้วครับ

By: rerng007 on 10 August 2014 - 17:37 #730225

ดีครับ
ผมอ่านต้นฉบับแล้ว เหมือนเนื้อความสื่อไม่ตรงกันซะทีเดียวนะครับเรื่อง SMS ที่ได้รับ เหมือนตัวเนื้อหา SMS จะไม่ได้ถูกส่งนะครับ เฉพาะ เบอร์โทร

ต้นฉบับเขียนว่า
"The phone number of contacts added to the phone book and from SMS messages received was also forwarded."

เนื้อข่าวเขียนว่า
"RedMi ส่งชื่อโอเปอเรเตอร์ที่ใช้งาน, เลข IMEI และหมายเลขโทรศัพท์ของซิม, หมายเลขโทรศัพท์ในสมุดที่อยู่, SMS ที่ได้รับ กลับไปยัง api.account.xiaomi.com "

By: mk
FounderAndroid
on 10 August 2014 - 17:55 #730227 Reply to:730225
mk's picture

โอ้ แก้ตามนั้นครับ อันนี้อ่านพลาดไปหน่อย ขออภัยครับ

By: tekkasit
ContributorAndroidWindowsIn Love
on 10 August 2014 - 17:56 #730228 Reply to:730225
tekkasit's picture

The phone number of contacts added to the phone book and from SMS messages received was also forwarded..

ผมเห็นด้วยนะ พอคำว่า from ตรงนี้ ทำให้กลายเป็นแค่เบอร์โทรผู้ส่ง SMS เท่านั้น

แต่ก็นั่นแหล่ะ จะเอาเบอร์โทรศัพท์ใน phone book กับเบอร์คนส่ง SMS ไปทำไม

By: pasuth73
iPhoneWindows PhoneAndroidUbuntu
on 10 August 2014 - 19:39 #730252 Reply to:730228

ที่ผมคิดได้นะ เอาเบอร์คนมาส่ง SMS โฆษณาแบบเจาะจงคนครับ โดยเริ่มต้นให้ hao123 กับ PC Faster เข้าไปสำรวจ PC ให้เรียบร้อยแล้วเอา เสี่ยวหมี่ ดูด เบอร์เพื่อเอามาวิเคราะห์โฆษณา หรือร้ายกว่านั้นร่วมมือกับโอเปอร์เรเตอร์ในการติดตามคนจากซิมทโทรศัพท์ ไปไกล:P

By: zerost
AndroidWindows
on 10 August 2014 - 19:48 #730253
zerost's picture

ถ้าไม่ได้ส่งข้อความใน sms กลับมันก็ไม่ต่างจากมือถือรุ่นก่อนนี้ที่มีข่าวว่าส่งข้อมูลกลับเท่าไหนะครับ

By: Ruszell
AndroidWindows
on 10 August 2014 - 20:17 #730262

กรรม ตอนแรกอุส่าเชียร์ เจอแบบนี้ไปละเงิบเลย

By: manophat
iPhoneWindows PhoneAndroidSymbian
on 10 August 2014 - 21:18 #730273
manophat's picture

ประเทศจีนนี่เขารู้จักคำว่าซื่อสัตย์ต่อผู้บริโภคบ้างหรือเปล่าเนี่ย?

By: ปลงนะเรา
Android
on 10 August 2014 - 22:58 #730292

มิน่า S3 live demo unit ของผม ทำยังไงก็ล๊อคอิน xiomi ไม่ได้ เพราะไม่มีอะไรให้ดูด sim ไม่มี operator ไม่มี imei ไม่มี SMS ยิ่งไม่มีใหญ่ เลยอด

By: warit006
AndroidUbuntuWindowsIn Love
on 11 August 2014 - 01:42 #730341
warit006's picture

สงสัยต้องกลับไปใช้ 3310 ละมั้งเนี่ยครับ
ปลอดภัยหายห่วง เหรอ???

By: sunback
Contributor
on 11 August 2014 - 02:22 #730347 Reply to:730341
sunback's picture

ระบบ GSM ก็ใช่ว่าจะปลอดภัยนะ

By: nutchapon
iPhone
on 11 August 2014 - 03:53 #730353

Design สวยดี สเปคก็ดี ไม่น่าทำร้ายตัวเองเลย

By: Tlecoco
iPhoneAndroid
on 11 August 2014 - 11:05 #730385
Tlecoco's picture

แบบนี้อ่าน OTP ได้ด้วยหรือเปล่าครับ