日前,有传闻称小米手机MIUI系统存在高危漏洞,泄露用户的密码、短信、聊天记录以及其它个人信息。据该MIUI漏洞报告称,在MIUI中用户通过备份程序(Backup.apk)将个人数据、应用程序和应用数据保存在本地,以便升级或刷机以后恢复,但MIUI将备份内容明文保存,会使保存在SD卡上的备份内容遭到恶意读取。
根据Android官方文档,Android并不对SD卡的文件读写进行进程UID的权限验证,任何应用软件可以随意读取和写入位于SD卡上的文件。因此,攻击者可利用此漏洞将用户已安装的程序更换为扣费软件和间谍软件,进行恶意扣费、窃取个人隐私。
针对此传言,小米公司今日发表了官方声明,称小米MIUI并无私自泄露用户隐私,将在后续的MIUI开发版ROM中加入本地分本数据加密功能。完整声明如下:
针对近日网络关于小米手机MIUI泄露用户隐私的传言,小米公司官方严正声明此为谣言与误解。
一、小米手机MIUI的本地备份功能仅是将数据备份至本地SD卡,便于存储与恢复数据,用户自行选择操作,小米手机MIUI并未私自上传或泄露用户隐私数据。
二、除了本地备份,小米手机MIUI还提供在线备份功能,如果用户选择在线备份,我们采用了非常严格的云端加密技术,确保用户数据安全。
三、为了防止恶意程序读取本地SD卡备份数据,小米手机将在本周的MIUI开发版新的更新中加入本地备份数据加密功能。
