受託測試單位:
1. F-Secure 馬來西亞亞洲實驗室
2. 資安公司戴夫寇爾
測試手機:
1. 全新紅米1s (F-Secure)
2. 全新米3 (F-Secure)
3. 正常使用多時的紅米 (戴夫寇爾)
測試時間:
7月31日~8月6日
測試一:F-Secure
全新紅米1s、米三
| 連接伺服器 (api.account.xiaomi.com) | 回傳IMEI碼 | 回傳IMSI碼 | 回傳電話號碼 | 傳送形式 | |
| 開機、插入sim卡、連接無線AP | O | O | O | 明碼 | |
| 新增聯絡人到電話簿、收發簡訊 | O | O (簡訊者接收者) | 明碼 | ||
| 啟用&登錄小米雲服務 | O | O | O | O | 明碼 |
戴夫寇爾資安研究員岑志豪:一般手機在未登錄授權啟用時,通常不會回傳手機序號或手機號碼;同樣的,也少見會回傳接收簡訊者的手機號碼。
測試二:戴夫寇爾
正常使用多時的紅米機,只安裝少數基本App
| 連接伺服器 | 回傳資料 | 傳送形式 | |
| 一開機 | 小米主機 (http://policy.app.xiaomi.com/cms/interface/v1/checkpackages.php) | 所有作業系統安裝的程式名稱 | 明碼 |
| 開機後不久 | 小米北京伺服器 (out68-9.mxzwb3.hichina.com) | 未知資料 | 加密 |
| 打開安全中心 | pmir.3g.qq.com | 未知資料 | 加密 |
| 在系統輸入文字 | 友盟 umeng (https://www.umeng.com/app_logs) | 使用者資料以及統計數據 | 加密 |
戴夫寇爾執行長翁浩正:很少見到會回傳應用程式清單
小米官方回應:
| 手機一開機後的連線行為 | 回傳IMEI確認是否為正貨,並確認該號碼是否申請過小米帳號。 |
| 傳送簡訊時 | 驗證手機號碼,是為了確認雙方都是小米手機,才能使用網路簡訊。 |
| 登錄小米雲服務 | 依照使用者設定,才能同步使用者手機資料。 |
| 回傳應用程式清單 | 開啟小米雲備份功能,會同步使用者下載App,當使用者換新手機時,可以直接由雲備份直接下載即可。 |
