本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。对此小米科技官方承认漏洞,并称该漏洞存在于开发者制作的MIUI合作版ROM中。
MIUI合作版是小米官网专为其他品牌手机提供的刷机系统,涉及三星、索尼、HTC、LG等十多个手机品牌。所有使用MIUI刷机的手机都受到漏洞影响。
根据乌云平台上的描述,黑客可利用MIUI漏洞篡夺系统所有权限,窃取短信等敏感数据、盗用小米账号密码、执行静默安装,甚至把整个系统OTA升级 “一窝端”。也就是说,手机如果用了MIUI刷机,就可被黑客任意摆布,为所欲为。
小米官方承认MIUI合作版的签名存在漏洞。签名拥有手机系统至高无上的权力,任何应用申请权限都需要通过系统签名来分配。如果黑客掌握了签名,就可以悄无声息地获得手机所有权限,随便读取短信、读取通讯录、拨打电话、发送短信、录音、拍照等等,或者把小米钱包、网银等重要应用偷偷替换为相同图标和界面的木马,窃取受害者密码。
记者联系了一位安卓开发工程师,请他模拟演示MIUI漏洞的风险。在一部使用小米官网MIUI刷机的三星手机上,工程师在安装一个软件后,系统没有提示该软件申请使用哪些权限。然而不到半个小时,手机里的短信都被自动发送到一个邮箱里,银行和支付类的验证码短信也全部失陷。整个过程中,手机用户察觉不到任何异常。
小米公司表示将在MIUI ROM制作的官方教程中加强引导,提高开发者的安全意识,但并未透露会采取哪些措施保护已经使用MIUI刷机的用户。目前通过小米官网查询,存在漏洞的MIUI合作版也尚未下线。
原文发布时间为:一月 16, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/13191.html
