乌云平台曝光小米手机泄露用户隐私 明文数据等同裸奔

日前，国内知名漏洞报告平台“乌云”曝光小米手机MIUI系统存在漏洞，可造成用户短信、联系人、密码等大量敏感数据泄露。据悉该漏洞最早于6月11日被曝出，影响所有MIUI版本，此后小米公司也已确认漏洞存在，但坚称自己并未“私自”上传用户隐私数据。

7月30日，小米公司发表声明，称小米手机MIUI绝无私自泄露用户隐私。为了防止恶意程序读取本地SD卡备份数据，小米手机将在本周的MIUI开发版更新中加入本地备份数据加密功能。

此前“乌云”爆料称，小米手机的MIUI系统存在高危漏洞，直接将用户隐私数据明文备份在SD卡中，包括联系人列表、短信内容、WIFI密码以及本地应用程序的私有数据等。任何一款安装在MIUI上的手机程序，都可轻易获取小米用户隐私，甚至安装不良扣费软件。

漏洞信息显示，MIUI用户使用备份程序（Backup.apk）所生成的备份信息被自动保存在SD卡中，而安卓（Android）的系统加密机制仅针对手机内存中的文件有效，并不对SD卡的文件读写进行权限加密；同时，MIUI也未对备份信息进行加密，使小米用户面临极大的安全风险。

同时，该漏洞还可将MIUI用户已安装软件中的隐私数据从手机内存的私有目录拷贝至SD卡，没有了手机内存的加密机制，不仅联系人、短信内容等信息无法被保护，诸如微博、SNS等软件中的个人信息也会被黑客窃取。迄今已有多位用户反馈称，自从购买小米手机，骚扰电话和垃圾短信凭空增加了很多。

随着移动互联网发展，智能手机正在成为黑客主攻的目标，近期韩国更是曝出870万手机用户信息泄露的重大事故，为国产手机安全敲响警钟。“乌云”官方强调，“乌云是独立的第三方漏洞报告平台，每一个安全问题都会有确切的证据和分析，不会捏造任何谣言”。

“乌云”同时表示，关于MIUI的安全问题确实存在，“小米MIUI会将原来需要权限读取的数据以明文方式开放给任何第三方应用，请小米公司自重。”

（赵小冰）