|
||||
7月27日,烏雲漏洞報告平臺曝光小米手機MIUI系統存在漏洞,可造成用戶大量敏感數據泄露。由於MIUI備份數據明文存儲在SD卡中,攻擊者可利用漏洞獲取小米手機用戶的聯系人列表、短信內容、WIFI密碼以及本地應用程序的私有數據等。
圖1:MIUI用戶SNS應用中的個人信息可被直接讀取
漏洞信息顯示,MIUI用戶使用備份程序(Backup.apk)所生成的備份信息被自動保存在SD卡中,而Android的系統加密機制僅針對手機內存中的文件有效,並不對SD卡的文件讀寫進行權限加密;同時,MIUI也未對備份信息進行加密,從而使任意手機程序都可以讀取這些明文保存的備份信息。
MIUI的備份信息中不僅包含手機用戶的聯系人、短信內容等信息,還有用戶所安裝軟件的詳細信息,攻擊者一旦使用偽裝過的惡意軟件APK文件替換掉備份數據中的正常文件,那麼用戶在進行系統恢復後,惡意軟件便會被恢復至系統中,黑客可借此持續竊取MIUI用戶信息。
圖2:利用該漏洞可直接讀出已安裝軟件信息
此外,該漏洞還可將MIUI用戶已安裝軟件中的隱私數據從手機內存的私有目錄拷貝至SD卡,沒有了手機內存的加密機制,不僅聯系人、短信內容等信息無法被保護,諸如微博、SNS等軟件中的個人信息也會被黑客竊取。
據了解,該漏洞於6月11日就被曝出,影響所有MIUI版本,此後小米公司也已確認該漏洞,但並未透露將於何時推出補丁。