NCC爆小米手机有安全疑虑?来看外媒去年的分析与小米此次说法一致:只是针对广告商的管理

科技中心/综合报导

为督促制造商手机版本更新亦能积极送测,国家通讯传播委员会(下称NCC)公开2021年智慧手机资安审查结果当中直指小米10T 有「安全疑虑」。对此,小米在第一时间公开严正抗议,表示从来不会取用个资。而事实上,早在 2021 年 9 月,就有外媒针对类似事件进行程式分析,确实就如同小米、Google 、Facebook 一样,单纯是过滤广告的行为。

NCC 指出,2021 年 9 月 21 日立陶宛国防部网路安全中心揭露了小米公司于欧洲贩售的 Mi 10T 5G手机内建软体具有文字审查功能后,因此 NCC 随即在 10 月份委请财团法人电信技术中心(下称TTC)检测台版小米10T,结果发现其内建之7个应用软体(App)(个性主题音乐、套装软体安装程式、手机管家垃圾清理、下载管理、小米视频)会从小米伺服器下载针对「自由西藏」、「台湾独立」、「美国在台协会」、「香港独立媒体」、「六四事件」等涉政治词汇进行比对之档案(MiAdBlacklistConfig),具有阻绝连网或将相关浏览行为回传之疑虑。

由于MiAdBlacklistConfig这个档案包含色情暴力、煽动、政府、宗教、政治团体、社会运动和政治人物姓名等简体、繁体和英文词汇,总计2千余笔。NCC 认为,原则上各国厂牌手机对使用者涉隐私资讯有提供设定开启或关闭功能的选择。

对此,国内就有媒体引述外媒 XDA-Developer 的调查报告(https://www.xda-developers.com/xiaomi-secret-blacklist-explained/amp/),指出他们早在 2021 年九月时,就详细剖析了关于 MiAdBlacklistConfig 这个档案,确实如同 NCC 公告写的,里面有上述共多达 2,000 多笔审查纪录。有趣的是,XDA-Developer 编辑还找到 mi、xiaomi mi5、mi mobile phone 等字词

本着研究精神,XDA-Developer 提取 APK 之后,找到引用这份档案里一份名为”INativeAd“的文件。跟据了解,INativeAd 会使用的方法包括AdOnClickListener,OnBannerClosedListener,ImpressionListener,OnAdCompletedListener,OnAdRewardedListener,OnAdDismissedListener。

换言之,“INativeAd” 是小米全球广告软体开发工具包(SDK)的一个工具,从 XDA-Developer 找到的文件(如下图),可以发现这工具就是专门用于过滤广告:

而根据 XDA-Developer 于 2019 年 4 月所截取的小米 Redmi Note 7 Pro 图片来看,确实如果不针对他们的 MIUI 进行整顿,那么所有的小米手机用户,在使用某些小米的应用程式,将有机会看到这些可能粗俗、不当的内容,相信这也是为什么 MiAdBlacklistConfig 会有 mi、xiaomi mi5、mi mobile phone 等自家产品的原因。在这份名单中也有找到三个写非常详细的字词,包括:「每个女孩在结婚第一晚都会想到的 5 件事(5 things every girls thinks in her first night of marriage)」、「在家检查怀孕的方法(Checking of pregnancy by a home method)」、「拍摄 – 看照片(shooting- see photos)」。

换言之,此次 NCC 依据“MiAdBlacklistConfig”这个档案所提出的「个人隐私回传」疑虑,很可能是一场误会。而小米也在第一时间不假思索的回应:「小米从来没有,将来也不会限制、回传或阻隔手机用户的任何个人行为,例如搜寻、打电话、浏览网页或使用第三方通讯软体。」

小米强调,MiAdBlacklistConfig 档案,是来管理广告商于小米自有 APP 中推送的付费广告内容,以保护使用者免受部分内容的影响,比如色情、暴力、仇恨言论、以及可能冒犯当地使用者的资讯。这一做法在智慧型手机与社群网站规范管理(例 Facebook 广告政策或 Google Ads 内容条款等)是很常见的做法与规范。

相信熟悉小米手机用户的人都清楚,这次被 NCC 揪出的「个性主题、音乐、套装软体安装程式、手机管家、垃圾清理、下载管理、小米视频...」等几款 App,说穿了几乎都是 MIUI 的内容,XDA-Developer 认为这中间没有太多令人担忧的地方,而早在 2021 年五月,小米集团便以美国国防部缺乏足够的理由来证明该公司与中国军方关联,并且在各项证据不足的前提下,最终判定小米胜诉,小米也因此脱离美国封杀的黑名单

经过这一事件,也可以很清楚了解到,不管小米还是 NCC,双方都是站在消费者的角度,希望消费者能够以最安全的形式,使用最新的科技产品,只是 NCC 站在审查员角色,提醒用户如何注意个人安全。而小米则是站在服务商的角色,使用 AI 技术在后台进行审查。

而这次的审查事件有疑虑的不只小米,NCC还指出在 2021 年所抽测 5 款销量较高的中国品牌手机当中都没通过初审,但是经过厂商提交资料后,已经在 10 月通过复检。而除了小米10T之外,在 2021 年上半年卖得最好的 10 款不同品牌的手机,除了 iPhone 12 之外,其余 9 款手机全数不通过,NCC 说明已函请手机制造商积极配合改善。

至于遭到点名的小米则再次强调:「用户隐私安全是我们的奋斗方向,我们以最高标准经营并遵守本地和区域的法律范。」