MIUI刷机曝重大危险 可致短信照片等个人隐私被盗

本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗，日前乌云平台披露MIUI存在高危级别漏洞，黑客可轻易窃取短信、通讯录、照片等手机数据，甚至威胁手机支付的财产安全和云端备份的隐私资料。对此小米科技官方承认漏洞，并称该漏洞存在于开发者制作的MIUI合作版ROM中。

MIUI合作版是小米官网专为其他品牌手机提供的刷机系统，涉及三星、索尼、HTC、LG等十多个手机品牌。所有使用MIUI刷机的手机都受到漏洞影响。

根据乌云平台上的描述，黑客可利用MIUI漏洞篡夺系统所有权限，窃取短信等敏感数据、盗用小米账号密码、执行静默安装，甚至把整个系统OTA升级 “一窝端”。也就是说，手机如果用了MIUI刷机，就可被黑客任意摆布，为所欲为。

小米官方承认MIUI合作版的签名存在漏洞。签名拥有手机系统至高无上的权力，任何应用申请权限都需要通过系统签名来分配。如果黑客掌握了签名，就可以悄无声息地获得手机所有权限，随便读取短信、读取通讯录、拨打电话、发送短信、录音、拍照等等，或者把小米钱包、网银等重要应用偷偷替换为相同图标和界面的木马，窃取受害者密码。

记者联系了一位安卓开发工程师，请他模拟演示MIUI漏洞的风险。在一部使用小米官网MIUI刷机的三星手机上，工程师在安装一个软件后，系统没有提示该软件申请使用哪些权限。然而不到半个小时，手机里的短信都被自动发送到一个邮箱里，银行和支付类的验证码短信也全部失陷。整个过程中，手机用户察觉不到任何异常。

小米公司表示将在MIUI ROM制作的官方教程中加强引导，提高开发者的安全意识，但并未透露会采取哪些措施保护已经使用MIUI刷机的用户。目前通过小米官网查询，存在漏洞的MIUI合作版也尚未下线。

原文发布时间为：一月 16, 2016
本文作者：aqniu
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛。
原文链接：http://www.aqniu.com/threat-alert/13191.html