網(wǎng)傳MIUI系統存隱私漏洞 小米公司官方澄清

　　近日，有傳聞稱(chēng)小米MIUI系統因明文備份用戶(hù)敏感信息到SD卡中，可能會(huì )造成用戶(hù)隱私的泄漏。MIUI官方確認了這一漏洞，而在今日小米手機公司針對網(wǎng)絡(luò )傳聞發(fā)表聲明稱(chēng)，小米手機MIUI從未私自泄漏用戶(hù)隱私。

　　其他App程序可讀取MIUI備份到SD卡的數據包

　　在烏云漏洞平臺上，記者看到有關(guān)MIUI這一漏洞的報告。據該MIUI漏洞報告稱(chēng)，在MIUI中，用戶(hù)通過(guò)備份程序(Backup.apk)將個(gè)人 數據、應用程序和應用數據保存在本地，以便升級或刷機以后恢復，但MIUI將備份內容明文保存，會(huì )使保存在SD卡上的備份內容遭到惡意讀取，從而引發(fā)用戶(hù) 敏感數據及隱私的泄漏。

　　該報告還詳細解釋稱(chēng)，根據Android官方文檔，Android并不對SD卡的文件讀寫(xiě)進(jìn)行進(jìn)程UID的權限驗證，任何應用軟件可以隨意讀取和寫(xiě) 入位于SD卡上的文件。因此，攻擊者可以編寫(xiě)應用軟件，讀取MIUI保存在SD卡中的備份數據，而這些數據并沒(méi)有被加密，造成攻擊者可以直接讀取。此外， 此漏洞還可能會(huì )造成用戶(hù)備份數據被篡改。

　　不過(guò)記者注意到，MIUI備份漏洞被發(fā)現日期為2012年6月11日，MIUI官方在6月12日確認了該漏洞，而該漏洞細節在7月26日向公眾進(jìn)行 開(kāi)放。漏洞細節開(kāi)放后，有MIUI用戶(hù)開(kāi)始討論并擔憂(yōu)該漏洞可能會(huì )造成隱私泄漏。針對傳言，小米公司在今日發(fā)表官方聲明，稱(chēng)小米手機MIUI絕無(wú)私自泄露 用戶(hù)隱私。同時(shí)在MIUI官網(wǎng)，MIUI的ROM包的穩定版、開(kāi)發(fā)版更新日期分別為6月29日和7月27日，都在隱私漏洞被發(fā)現之后。

　　MIUI是小米公司旗下基于Android系統深度優(yōu)化、定制、開(kāi)發(fā)的第三方手機操作系統，小米手機也是采用MIUI定制系統，其用戶(hù)數量高達數百萬(wàn)。