文/赵云
小米手机最近数月被曝光的安全问题,并没有引起足够的重视,相反,有关小米手机市场占有率第一的新闻,却漫天飞舞。
备受其他手机厂商关注和推崇的“互联网营销能力”,在某种程度上,也一直遭遇质疑。相对于难以验证的内部爆料,我觉得不妨基于公开报道和数据,分析下,小米在一些数据上,前后不一致,所产生的问题,以及其信誉的可信度。
一、关于秘密收集用户数据
2014年7月,台湾地区的网友开始爆料说,小米公司在消费者未知的情况下,私自收集资料,回传到其北京总部的服务器上。在网上有用户对此进行抱怨甚至爆料。对此,小米的应对策略是,打死不承认。
谁知台湾地区的媒体,容易较真。科技媒体ITHome就找了安全专家,花了一周时间(7月31日至8月6日)进行实测,实测地点为马来西亚。结果证实,小米公司撒谎了。在8月8日,ITHome根据实测过程,发布新闻称,小米手机确实未经消费者许可,手机包括使用者的手机号码、IMSI(国际移动用户识别码)及IMEI码(国际移动装置识别码)在内的用户隐私,而且媒体更指出,小米公司的数据回传,竟然采用明码方式。
又隔了两天,小米公司发现在内地玩的那套,在海外市场不灵光,便自己打脸承认了。不过这一次小米又有新的说法:虽然确实收集了,但是不会存储在服务器上。
ITHome对此报道的标题是,“小米招了”。而后小米的表述,就很有咱们内地新闻的特色了:连夜组织工程师,加班加点,发布了OTA升级包,关闭了“网路简讯”自动启动功能。
这是什么意思呢?意思就是,加班加点一两天就能搞定的事情,为何此前这么久,没有媒体曝光之前,就是想不到。就是媒体没有找安全专家验证之前,我就是可以硬挺着不承认。
在中国互联网公司的观念里,企业的信用似乎从来就不是问题,不值一提。这不是小米一家公司的问题,是整个中国互联网公司的通病。
小米全球副总裁雨果·巴拉(HugoBarra)也对此事进行了回应:“小米是一个专注于提供高质易用移动网络服务的公司,我们相信保护用户数据与隐私是最优先的。我们决定把小米云端短信设置为一项需要选择启用的服务,并且不再会自动启用。同时,向MIUI用户与粉丝对此感到的担忧表示歉意,并感谢提供了反馈建议的用户和媒体。”
这句话或许可以这样解读:在用户和安全专家没有爆出这个问题前,虽然我们相信用户数据和隐私是最优先的,但我们并没有这样去做。
我建议,懂得安全技术的专家,可以测试下内地用户的小米手机,看看这个问题是否和海外一样,得到了解决?
二、关于之前“800万用户数据泄密”一事
2014年5月13日,小米论坛(即官方论坛“小米社区”)有800万用户数据泄密的消息出来。5月14日,小米公司以“小米安全中心”名义发布声明说:“确有部分2012年8月前注册的论坛账号信息被非法获取。”“2012年8月后注册小米账号的用户在本次事件中完全不受影响。”
如果真的有800万用户受影响了,那么小米公司又说是2012年8月前的数据才会受到影响,那么,在这之前的注册用户数据到底是多少呢?
我们不妨验证下:第一,小米发布第一款手机,是2011年8月16日。到2012年4月月初,小米公司副总裁黎万强接受媒体采访表示,“目前销量已达150万台”。2012年8月16日,小米公司发布小米2代手机,在该发布会上,雷军说,卖出了352万台小米手机。
当然,可以认为社区注册用户和手机用户,是两回事。我们姑且认为,小米陈述的都是事实:2012年8月前,小米社区已经有超过800万的注册用户数,而泄密的这800万,确实是这个时间点之前的。
但问题来了。小米公司的通过媒体发布的新闻稿则说,:2012年8月8日,网易科技援引飞象网报道,称当天新版小米社区上线,注册用户近400万。
这个数据是不是媒体自己的数据,不是小米给的呢?来个佐证:小米社区的小米后院,在7月12日发布一篇名为《自2011年8月16日小米手机发布后的35个月发生了什么?》的文章,该文章属性标注为“新闻”,当中明确提到,2012年2月9日,小米社区注册用户达到200万;2012年底,小米社区注册用户达到了550万。
这基本上已可以确定,截至2012年底,小米社区的注册用户量,仅为550万人。
小米必须对这个550万的数据认账。我的理由是:2012年12月29日,小米共同创始人黎万强发微博说,“今天雷总请小米网兄弟喝酒。大家都醉了。小米2012干的712万台的成绩真的是小米上下血拼过来的,真的550万米粉支持过来的。谢谢所有兄弟们和米粉朋友。我们都在经历历史,都在创造奇迹。你们可以骂我2但别骂我SB!”
这个550万米粉,应该就是社区的数据,如果不是,只能反向证明社区注册用户数更少,而不是更多。
就在这次安全时候之后,第三方乌云平台又曝光称,“小米科技某安全漏洞影响88W+360W数据”,但乌云平台最后说,小米的回复是,“该漏洞之前在小米安全中心已经提交过,我们已经处理完成,属于过期数据库在线上未清理干净”。
这448万的数据,到底是意味压根就没开始清理,还是没有清理干净呢?
乌云之前所言的800万数据,是否有后期的呢?就算800万受影响的用户数据,全部是2012年8月前注册的,那么那250万的差额部分,出现在哪儿呢?
到这里,别说小米公司,就连作者我自己,都凌乱了。
当一家公司在应对安全事件这么严肃的声明中,都可以随便乱讲时,可信任值基本上直接下滑到“津巴布韦”货币的地步了吧。
更有一点,小米在应对这次安全事件的声明中表示:小米将所有服务(包括小米云服务、米币等)切换到全新的账号安全体系,采用业界最新安全实践方案,对所有存储数据均进行了最严格的安全加密。
360安全专家在接受新华网采访时说,“从网络流传的小米数据库判断,数据库中的密码数据使用了保护措施,黑客还原明文密码的概率约为70%-80%,简单密码容易被破解。”就当是周鸿祎再次黑小米出翔了,那么,那么台湾媒体曝光的隐私资料“明文”方式回传,又是怎么回事?【作者微信公众号:通信观察(ICTVIEW)】