網(wǎng)傳MIUI系統(tǒng)存隱私漏洞 小米公司官方澄清

　　近日，有傳聞稱小米MIUI系統(tǒng)因明文備份用戶敏感信息到SD卡中，可能會(huì)造成用戶隱私的泄漏。MIUI官方確認(rèn)了這一漏洞，而在今日小米手機(jī)公司針對網(wǎng)絡(luò)傳聞發(fā)表聲明稱，小米手機(jī)MIUI從未私自泄漏用戶隱私。

　　其他App程序可讀取MIUI備份到SD卡的數(shù)據(jù)包

　　在烏云漏洞平臺(tái)上，記者看到有關(guān)MIUI這一漏洞的報(bào)告。據(jù)該MIUI漏洞報(bào)告稱，在MIUI中，用戶通過備份程序(Backup.apk)將個(gè)人 數(shù)據(jù)、應(yīng)用程序和應(yīng)用數(shù)據(jù)保存在本地，以便升級或刷機(jī)以后恢復(fù)，但MIUI將備份內(nèi)容明文保存，會(huì)使保存在SD卡上的備份內(nèi)容遭到惡意讀取，從而引發(fā)用戶 敏感數(shù)據(jù)及隱私的泄漏。

　　該報(bào)告還詳細(xì)解釋稱，根據(jù)Android官方文檔，Android并不對SD卡的文件讀寫進(jìn)行進(jìn)程UID的權(quán)限驗(yàn)證，任何應(yīng)用軟件可以隨意讀取和寫 入位于SD卡上的文件。因此，攻擊者可以編寫應(yīng)用軟件，讀取MIUI保存在SD卡中的備份數(shù)據(jù)，而這些數(shù)據(jù)并沒有被加密，造成攻擊者可以直接讀取。此外， 此漏洞還可能會(huì)造成用戶備份數(shù)據(jù)被篡改。

　　不過記者注意到，MIUI備份漏洞被發(fā)現(xiàn)日期為2012年6月11日，MIUI官方在6月12日確認(rèn)了該漏洞，而該漏洞細(xì)節(jié)在7月26日向公眾進(jìn)行 開放。漏洞細(xì)節(jié)開放后，有MIUI用戶開始討論并擔(dān)憂該漏洞可能會(huì)造成隱私泄漏。針對傳言，小米公司在今日發(fā)表官方聲明，稱小米手機(jī)MIUI絕無私自泄露 用戶隱私。同時(shí)在MIUI官網(wǎng)，MIUI的ROM包的穩(wěn)定版、開發(fā)版更新日期分別為6月29日和7月27日，都在隱私漏洞被發(fā)現(xiàn)之后。

　　MIUI是小米公司旗下基于Android系統(tǒng)深度優(yōu)化、定制、開發(fā)的第三方手機(jī)操作系統(tǒng)，小米手機(jī)也是采用MIUI定制系統(tǒng)，其用戶數(shù)量高達(dá)數(shù)百萬。