日前烏云平臺披露MIUI存在高危級別漏洞,黑客可輕易竊取短信、通訊錄、照片等手機數據,甚至威脅手機支付的財產安全和云端備份的隱私資料。對此小米科技官方承認漏洞,并稱該漏洞存在于開發者制作的MIUI合作版ROM中。
MIUI合作版是小米官網專為其他品牌手機提供的刷機系統,涉及三星、索尼、HTC、LG等十多個手機品牌。所有使用MIUI刷機的手機都受到漏洞影響。
根據烏云平臺上的描述,黑客可利用MIUI漏洞篡奪系統所有權限,竊取短信等敏感數據、盜用小米賬號密碼、執行靜默安裝,甚至把整個系統OTA升級 “一窩端”。也就是說,手機如果用了MIUI刷機,就可被黑客任意擺布,為所欲為。
小米官方承認MIUI合作版的簽名存在漏洞。簽名擁有手機系統至高無上的權力,任何應用申請權限都需要通過系統簽名來分配。如果黑客掌握了簽名,就可以悄無聲息地獲得手機所有權限,隨便讀取短信、讀取通訊錄、撥打電話、發送短信、錄音、拍照等等,或者把小米錢包、網銀等重要應用偷偷替換為相同圖標和界面的木馬,竊取受害者密碼。
記者聯系了一位安卓開發工程師,請他模擬演示MIUI漏洞的風險。在一部使用小米官網MIUI刷機的三星手機上,工程師在安裝一個軟件后,系統沒有提示該軟件申請使用哪些權限。然而不到半個小時,手機里的短信都被自動發送到一個郵箱里,銀行和支付類的驗證碼短信也全部失陷。整個過程中,手機用戶察覺不到任何異常。
小米公司表示將在MIUI ROM制作的官方教程中加強引導,提高開發者的安全意識,但并未透露會采取哪些措施保護已經使用MIUI刷機的用戶。目前通過小米官網查詢,存在漏洞的MIUI合作版也尚未下線。
京公網安備 11010502049343號