开发者社区> 晚来风急> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

MIUI刷机曝重大危险 可致短信照片等个人隐私被盗

简介: 本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。
+关注继续查看

本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。对此小米科技官方承认漏洞,并称该漏洞存在于开发者制作的MIUI合作版ROM中。

image

MIUI合作版是小米官网专为其他品牌手机提供的刷机系统,涉及三星、索尼、HTC、LG等十多个手机品牌。所有使用MIUI刷机的手机都受到漏洞影响。

根据乌云平台上的描述,黑客可利用MIUI漏洞篡夺系统所有权限,窃取短信等敏感数据、盗用小米账号密码、执行静默安装,甚至把整个系统OTA升级 “一窝端”。也就是说,手机如果用了MIUI刷机,就可被黑客任意摆布,为所欲为。

小米官方承认MIUI合作版的签名存在漏洞。签名拥有手机系统至高无上的权力,任何应用申请权限都需要通过系统签名来分配。如果黑客掌握了签名,就可以悄无声息地获得手机所有权限,随便读取短信、读取通讯录、拨打电话、发送短信、录音、拍照等等,或者把小米钱包、网银等重要应用偷偷替换为相同图标和界面的木马,窃取受害者密码。

记者联系了一位安卓开发工程师,请他模拟演示MIUI漏洞的风险。在一部使用小米官网MIUI刷机的三星手机上,工程师在安装一个软件后,系统没有提示该软件申请使用哪些权限。然而不到半个小时,手机里的短信都被自动发送到一个邮箱里,银行和支付类的验证码短信也全部失陷。整个过程中,手机用户察觉不到任何异常。

小米公司表示将在MIUI ROM制作的官方教程中加强引导,提高开发者的安全意识,但并未透露会采取哪些措施保护已经使用MIUI刷机的用户。目前通过小米官网查询,存在漏洞的MIUI合作版也尚未下线。

原文发布时间为:一月 16, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/13191.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
支付宝二面:Mybatis内的mapper方法为何不能重载
支付宝二面:Mybatis内的mapper方法为何不能重载
33 0
Mybatis源码系列2-Mapper原理
Mybatis源码系列2-Mapper原理
36 0
【计算机网络】网络层 : IP 数据报分片 ( 数据分片机制 | 分片示例 | 三种数据长度单位 )
【计算机网络】网络层 : IP 数据报分片 ( 数据分片机制 | 分片示例 | 三种数据长度单位 )
146 0
SAP MMBE库存数量与在库序列号数量差异之处理
SAP MMBE库存数量与在库序列号数量差异之处理
102 0
以太坊ERC20代币数据集【1000+,含合约地址、图标等】
Erc20Tokens数据集包含超过1000种主流的以太坊ERC20代币的描述数据清单和图标,可用于钱包等区块链应用的开发,支持使用Java、Python、Php、NodeJs、C#等各种开发语言查询主流ERC20代币的相关数据。
1863 0
类似windows explorer的图片浏览器
windows explore在查看文件中有查看缩略图这一选项,他的实质就是从thumbs文件中读取出已经生成的缩略图文件然后做为image显示出来 在网上有如何读出thumbs文件的类库,今天使用这个类库模仿一下window explorer类库的源地址http://www.petedavis.net/MySite/DynPageView.aspx?pageid=31 原理读出thumb
816 0
+关注
9363
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载