- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
曝MIUI漏洞导致小米用户短信等隐私泄露
录入:edatop.com 点击:
7月27日,乌云漏洞报告平台曝光小米手机MIUI系统存在漏洞,可造成用户大量敏感数据泄露(http://www.wooyun.org/bugs/wooyun-2010-08187)。由于MIUI备份数据明文存储在SD卡中,攻击者可利用漏洞获取小米手机用户的联系人列表、短信内容、WIFI密码以及本地应用程序的私有数据等。
图1:MIUI用户SNS应用中的个人信息可被直接读取
漏洞信息显示,MIUI用户使用备份程序(Backup.apk)所生成的备份信息被自动保存在SD卡中,而Android的系统加密机制仅针对手机内存中的文件有效,并不对SD卡的文件读写进行权限加密;同时,MIUI也未对备份信息进行加密,从而使任意手机程序都可以读取这些明文保存的备份信息。
MIUI的备份信息中不仅包含手机用户的联系人、短信内容等信息,还有用户所安装软件的详细信息,攻击者一旦使用伪装过的恶意软件APK文件替换掉备份数据中的正常文件,那么用户在进行系统恢复后,恶意软件便会被恢复至系统中,黑客可借此持续窃取MIUI用户信息。
图2:利用该漏洞可直接读出已安装软件信息
此外,该漏洞还可将MIUI用户已安装软件中的隐私数据从手机内存的私有目录拷贝至SD卡,没有了手机内存的加密机制,不仅联系人、短信内容等信息无法被保护,诸如微博、SNS等软件中的个人信息也会被黑客窃取。
据了解,该漏洞于6月11日就被曝出,影响所有MIUI版本,此后小米公司也已确认该漏洞,但并未透露将于何时推出补丁。
来源:华商网