MIUI刷机曝重大危险 可致短信照片等个人隐私被盗

简介: 本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。

本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。对此小米科技官方承认漏洞,并称该漏洞存在于开发者制作的MIUI合作版ROM中。

image

MIUI合作版是小米官网专为其他品牌手机提供的刷机系统,涉及三星、索尼、HTC、LG等十多个手机品牌。所有使用MIUI刷机的手机都受到漏洞影响。

根据乌云平台上的描述,黑客可利用MIUI漏洞篡夺系统所有权限,窃取短信等敏感数据、盗用小米账号密码、执行静默安装,甚至把整个系统OTA升级 “一窝端”。也就是说,手机如果用了MIUI刷机,就可被黑客任意摆布,为所欲为。

小米官方承认MIUI合作版的签名存在漏洞。签名拥有手机系统至高无上的权力,任何应用申请权限都需要通过系统签名来分配。如果黑客掌握了签名,就可以悄无声息地获得手机所有权限,随便读取短信、读取通讯录、拨打电话、发送短信、录音、拍照等等,或者把小米钱包、网银等重要应用偷偷替换为相同图标和界面的木马,窃取受害者密码。

记者联系了一位安卓开发工程师,请他模拟演示MIUI漏洞的风险。在一部使用小米官网MIUI刷机的三星手机上,工程师在安装一个软件后,系统没有提示该软件申请使用哪些权限。然而不到半个小时,手机里的短信都被自动发送到一个邮箱里,银行和支付类的验证码短信也全部失陷。整个过程中,手机用户察觉不到任何异常。

小米公司表示将在MIUI ROM制作的官方教程中加强引导,提高开发者的安全意识,但并未透露会采取哪些措施保护已经使用MIUI刷机的用户。目前通过小米官网查询,存在漏洞的MIUI合作版也尚未下线。

原文发布时间为:一月 16, 2016
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/13191.html

相关文章
|
安全 数据库 数据安全/隐私保护
一曲三折的钓鱼网站反制
一曲三折的钓鱼网站反制
|
监控 安全
卡巴斯基手机安全软件:让遗失手机远离“短信门”
近日,“女局长暧昧手机短信曝光”事件已经迅速占据了各媒体的头条,用户在唏嘘之余不由得捂紧了自己的手机——如何在手机丢失后保护个人隐私安全已成为绝大多数手机用户束手无策的问题。卡巴斯基手机安全软件反盗窃、隐私保护功能能够为手机用户做到远程锁定手机、远程删除隐私、进行SIM卡监控,全方位保证手机丢失后的个人信息安全。
1163 0
|
安全
3.15曝光“山寨”杀毒软件“杀毒三宗罪”
“山寨”版杀毒软件,不同于其他山寨手机等产品。对于山寨手机,除了需要用户忍受哇哇叫的刺耳铃声,最起码山寨手机在通讯及其他娱乐商务功能上,都可以满足用户需求,不会在产品功效上严重侵犯消费者权益。 而山寨杀软的威胁之处在于,消费者花费了同样的价钱,却得不到相同价值的产品质量保障。
903 0
|
安全 Windows
卡巴提醒:新型魔兽盗号木马现身 玩家须小心提防
《魔兽世界》作为全球第一大网络游戏,吸引了大批玩家,自然也成为恶意程序攻击的重点对象。针对魔兽的盗号木马、后门程序等一直层出不穷。 卡巴斯基实验室近期检测到一种名为“魔兽猎手”的盗号木马(Trojan-GameThief.Win32.WOW.inn)肆虐网络,造成不少玩家感染,损失惨重。
896 0
|
安全
阿根廷黑客盯上中国网银用户 警惕“IK网银盗号器”
日前,金山毒霸云安全中心拦截到一款名为“IK网银盗号器”(Win32.Troj.Small.rz.134942 )的网银盗号木马。该木马主要利用邮件进行传播,病毒邮件的发件人是“刘娜 ”,信件内容为“您好 我在互联网上看到你们公司发的产品信息,请问向这种的什么价格,可以邮购吗 谢谢回复”。
1212 0
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1063 0