小米手機撒謊否認漏洞 烏云：請小米自重

7月30日最新消息，小米公司今日針對知名第三方漏洞報告平臺“烏云”于此前公開的“小米MIUI系統(tǒng)造成用戶大量敏感數(shù)據(jù)泄露”發(fā)表聲明，稱此系謠言與誤。隨即該聲明被細心的網(wǎng)友指出顧左而言他轉(zhuǎn)移視線之疑，“烏云”更是強硬表態(tài)回復(fù)小米：請自重!

 圖1：小米生命避重就輕在最后才表態(tài)將修復(fù)漏洞

細看小米這份聲明不難發(fā)現(xiàn)，前兩條均是推脫責(zé)任的官方說辭。如第一條所說的小米手機MIUI的本地備份功能僅是將數(shù)據(jù)備份至本地SD卡，并未上傳或泄露用戶隱私數(shù)據(jù)。實際上，也正是這個未采取任何加密操作的本地備份功能，才會造成用戶敏感數(shù)據(jù)被泄露。

據(jù)悉，造成這一漏洞的主要原因為Android的系統(tǒng)本身的加密機制僅針對手機內(nèi)存中的文件有效，并不對SD卡的文件讀寫進行權(quán)限加密。而MIUI將本來加密的文件備份至本地SD卡中后，并未對備份信息進行加密。直接導(dǎo)致包括小米手機用戶的聯(lián)系人列表、短信內(nèi)容、WIFI密碼以及本地應(yīng)用程序的私有數(shù)據(jù)在內(nèi)的多項敏感數(shù)據(jù)，面臨被第三方應(yīng)用及黑客輕松獲取的極大安全風(fēng)險。

遺憾的是小米只強調(diào)MIUI并未私自上傳或泄漏用戶隱私數(shù)據(jù)，而選擇性的避開由于MIUI備份功能存在漏洞，而有可能導(dǎo)致小米用戶被攻擊或隱私數(shù)據(jù)被泄露這一基本事實;聲明第二條則被網(wǎng)友調(diào)侃為更像是給小米手機的“用戶在線備份”功能做廣告。

直到聲明第三條，小米才輕描淡寫的將自己MIUI系統(tǒng)備份功能存在的漏洞，說成是為了主動防止惡意程序讀取本地SD卡備份數(shù)據(jù)，小米將在本周的MIUI開發(fā)版更新中加入本地備份數(shù)據(jù)加密功能。從被動補漏洞到主動防止，小米轉(zhuǎn)移視線意圖明顯。

圖2：烏云強硬回應(yīng)小米官方聲明也難怪會遭遇該漏洞的報告者“烏云”官方“請小米公司自重”強烈回應(yīng)，并表示烏云是獨立的第三方漏洞報告平臺，我們對安全技術(shù)有著最狂熱的執(zhí)著和尊重，白帽子提出的每一個安全問題都會有確切的證據(jù)和分析，我們不會捏造任何謠言，暗示小米試圖以說謊的方式遮蓋真相。

對此，某業(yè)內(nèi)人士表示，從烏云漏洞的報告來看，小米MIUI系統(tǒng)的漏洞確實存在。誰家的產(chǎn)品都有可能出現(xiàn)問題，小米要做的是給予重視，并迅速提供相應(yīng)的解決方案，給用戶一個合理的解釋，而不是通過公關(guān)手段來抹黑善意提出安全警告的“烏云”。