7月30日最新消息,小米公司今日针对知名第三方漏洞报告平台“乌云”于此前公开的“小米MIUI系统造成用户大量敏感数据泄露”发表声明,称此系谣言与误。随即该声明被细心的网友指出顾左而言他转移视线之疑,“乌云”更是强硬表态回复小米:请自重!
图1:小米生命避重就轻在最后才表态将修复漏洞
细看小米这份声明不难发现,前两条均是推脱责任的官方说辞。如第一条所说的小米手机MIUI的本地备份功能仅是将数据备份至本地SD卡,并未上传或泄露用户隐私数据。实际上,也正是这个未采取任何加密操作的本地备份功能,才会造成用户敏感数据被泄露。
据悉,造成这一漏洞的主要原因为Android的系统本身的加密机制仅针对手机内存中的文件有效,并不对SD卡的文件读写进行权限加密。而MIUI将本来加密的文件备份至本地SD卡中后,并未对备份信息进行加密。直接导致包括小米手机用户的联系人列表、短信内容、WIFI密码以及本地应用程序的私有数据在内的多项敏感数据,面临被第三方应用及黑客轻松获取的极大安全风险。
遗憾的是小米只强调MIUI并未私自上传或泄漏用户隐私数据,而选择性的避开由于MIUI备份功能存在漏洞,而有可能导致小米用户被攻击或隐私数据被泄露这一基本事实;声明第二条则被网友调侃为更像是给小米手机的“用户在线备份”功能做广告。
直到声明第三条,小米才轻描淡写的将自己MIUI系统备份功能存在的漏洞,说成是为了主动防止恶意程序读取本地SD卡备份数据,小米将在本周的MIUI开发版更新中加入本地备份数据加密功能。从被动补漏洞到主动防止,小米转移视线意图明显。
图2:乌云强硬回应小米官方声明也难怪会遭遇该漏洞的报告者“乌云”官方“请小米公司自重”强烈回应,并表示乌云是独立的第三方漏洞报告平台,我们对安全技术有着最狂热的执着和尊重,白帽子提出的每一个安全问题都会有确切的证据和分析,我们不会捏造任何谣言,暗示小米试图以说谎的方式遮盖真相。
对此,某业内人士表示,从乌云漏洞的报告来看,小米MIUI系统的漏洞确实存在。谁家的产品都有可能出现问题,小米要做的是给予重视,并迅速提供相应的解决方案,给用户一个合理的解释,而不是通过公关手段来抹黑善意提出安全警告的“乌云”。
