| 央視網|中國網絡電視臺|網站地圖 |
| 客服設為首頁 |
7月27日,烏雲漏洞報告平臺曝光小米手機MIUI系統存在漏洞,可造成用戶大量敏感數據洩露(http://www.wooyun.org/bugs/wooyun-2010-08187)。由於MIUI備份數據明文存儲在SD卡中,攻擊者可利用漏洞獲取小米手機用戶的聯絡人列表、短信內容、WIFI密碼以及本地應用程序的私有數據等。
圖1:MIUI用戶SNS應用中的個人信息可被直接讀取
漏洞信息顯示,MIUI用戶使用備份程序(Backup.apk)所生成的備份信息被自動保存在SD卡中,而Android的系統加密機制僅針對手機內存中的文件有效,並不對SD卡的文件讀寫進行權限加密;同時,MIUI也未對備份信息進行加密,從而使任意手機程序都可以讀取這些明文保存的備份信息。
MIUI的備份信息中不僅包含手機用戶的聯絡人、短信內容等信息,還有用戶所安裝軟體的詳細信息,攻擊者一旦使用偽裝過的惡意軟體APK文件替換掉備份數據中的正常文件,那麼用戶在進行系統恢復後,惡意軟體便會被恢復至系統中,黑客可借此持續竊取MIUI用戶信息。
圖2:利用該漏洞可直接讀出已安裝軟體信息
此外,該漏洞還可將MIUI用戶已安裝軟體中的隱私數據從手機內存的私有目錄拷貝至SD卡,沒有了手機內存的加密機制,不僅聯絡人、短信內容等信息無法被保護,諸如微博、SNS等軟體中的個人信息也會被黑客竊取。
據了解,該漏洞于6月11日就被曝出,影響所有MIUI版本,此後小米公司也已確認該漏洞,但並未透露將於何時推出補丁。
中國中央電視臺 中國網絡電視臺 版權所有
違法和不良信息舉報電話:010-88047123 京ICP證060535號 京網文【2014】0383-083號
網上傳播視聽節目許可證號 0102004 新出網證(京)字098號 中國互聯網視聽節目服務自律公約
意見反饋
頂
踩
收藏
MSN或QQ好友
貼到博客或論壇
轉發郵件
