日前烏云平臺披露MIUI存在高危級別漏洞,黑客可輕易竊取短信、通訊錄、照片等手機(jī)數(shù)據(jù),甚至威脅手機(jī)支付的財(cái)產(chǎn)安全和云端備份的隱私資料。對此小米科技官方承認(rèn)漏洞,并稱該漏洞存在于開發(fā)者制作的MIUI合作版ROM中。
MIUI合作版是小米官網(wǎng)專為其他品牌手機(jī)提供的刷機(jī)系統(tǒng),涉及三星、索尼、HTC、LG等十多個(gè)手機(jī)品牌。所有使用MIUI刷機(jī)的手機(jī)都受到漏洞影響。
根據(jù)烏云平臺上的描述,黑客可利用MIUI漏洞篡奪系統(tǒng)所有權(quán)限,竊取短信等敏感數(shù)據(jù)、盜用小米賬號密碼、執(zhí)行靜默安裝,甚至把整個(gè)系統(tǒng)OTA升級 “一窩端”。也就是說,手機(jī)如果用了MIUI刷機(jī),就可被黑客任意擺布,為所欲為。
小米官方承認(rèn)MIUI合作版的簽名存在漏洞。簽名擁有手機(jī)系統(tǒng)至高無上的權(quán)力,任何應(yīng)用申請權(quán)限都需要通過系統(tǒng)簽名來分配。如果黑客掌握了簽名,就可以悄無聲息地獲得手機(jī)所有權(quán)限,隨便讀取短信、讀取通訊錄、撥打電話、發(fā)送短信、錄音、拍照等等,或者把小米錢包、網(wǎng)銀等重要應(yīng)用偷偷替換為相同圖標(biāo)和界面的木馬,竊取受害者密碼。
記者聯(lián)系了一位安卓開發(fā)工程師,請他模擬演示MIUI漏洞的風(fēng)險(xiǎn)。在一部使用小米官網(wǎng)MIUI刷機(jī)的三星手機(jī)上,工程師在安裝一個(gè)軟件后,系統(tǒng)沒有提示該軟件申請使用哪些權(quán)限。然而不到半個(gè)小時(shí),手機(jī)里的短信都被自動(dòng)發(fā)送到一個(gè)郵箱里,銀行和支付類的驗(yàn)證碼短信也全部失陷。整個(gè)過程中,手機(jī)用戶察覺不到任何異常。
小米公司表示將在MIUI ROM制作的官方教程中加強(qiáng)引導(dǎo),提高開發(fā)者的安全意識,但并未透露會采取哪些措施保護(hù)已經(jīng)使用MIUI刷機(jī)的用戶。目前通過小米官網(wǎng)查詢,存在漏洞的MIUI合作版也尚未下線。