央視網|中國網絡電視臺|網站地圖
客服設為首頁
登錄

中國網絡電視臺 > 新聞臺 > 新聞中心 >

烏雲稱MIUI漏洞導致小米用戶短信等隱私洩露

發佈時間:2012年07月27日 18:23 | 進入復興論壇 | 來源:小熊在線 | 手機看視頻


評分
意見反饋 意見反饋 頂 踩 收藏 收藏
channelId 1 1 1
壟!-- /8962/web_cntv/dicengye_huazhonghua01 -->

更多 今日話題

壟!-- /8962/web_cntv/dicengye_huazhonghua02 -->

更多 24小時排行榜

壟!-- /8962/web_cntv/dicengye_huazhonghua03 -->

  7月27日,烏雲漏洞報告平臺曝光小米手機MIUI系統存在漏洞,可造成用戶大量敏感數據洩露(http://www.wooyun.org/bugs/wooyun-2010-08187)。由於MIUI備份數據明文存儲在SD卡中,攻擊者可利用漏洞獲取小米手機用戶的聯絡人列表、短信內容、WIFI密碼以及本地應用程序的私有數據等。

圖1:MIUI用戶SNS應用中的個人信息可被直接讀取

  漏洞信息顯示,MIUI用戶使用備份程序(Backup.apk)所生成的備份信息被自動保存在SD卡中,而Android的系統加密機制僅針對手機內存中的文件有效,並不對SD卡的文件讀寫進行權限加密;同時,MIUI也未對備份信息進行加密,從而使任意手機程序都可以讀取這些明文保存的備份信息。

  MIUI的備份信息中不僅包含手機用戶的聯絡人、短信內容等信息,還有用戶所安裝軟體的詳細信息,攻擊者一旦使用偽裝過的惡意軟體APK文件替換掉備份數據中的正常文件,那麼用戶在進行系統恢復後,惡意軟體便會被恢復至系統中,黑客可借此持續竊取MIUI用戶信息。

圖2:利用該漏洞可直接讀出已安裝軟體信息

  此外,該漏洞還可將MIUI用戶已安裝軟體中的隱私數據從手機內存的私有目錄拷貝至SD卡,沒有了手機內存的加密機制,不僅聯絡人、短信內容等信息無法被保護,諸如微博、SNS等軟體中的個人信息也會被黑客竊取。

  據了解,該漏洞于6月11日就被曝出,影響所有MIUI版本,此後小米公司也已確認該漏洞,但並未透露將於何時推出補丁。

熱詞:

  • MIUI
  • 短信內容
  • SD卡
  • 聯絡人列表
  • Android
  • 用戶使用
  • 用戶信息
  • 手機程序
  • 備份信息
  • 內存