科學家成功破解手機圖形鎖! 成功率超過九成! 只需要用內建的喇叭和麥克風就可以做到? | 一探啾竟 第61集 | 啾啾鞋
目录:
快速发展的互联网世界受到众多安全漏洞的影响,印度的eScan Antivirus发布了一份报告,暗示在运行MIUI操作系统的小米设备上发现了多个安全漏洞。
凭借13%的市场份额,小米目前是印度领先的智能手机品牌之一,印度是世界第二大智能手机市场,仅次于中国。
eScan的研究指出MIUI操作系统存在多个漏洞,这些漏洞能够将漏洞引入最终用户和安全应用程序。
“处理应用程序卸载的MIUI系统应用程序对安全应用程序构成了重大威胁。 据观察,在卸载时这些应用程序会在所有其他设备上要求输入密码,尽管在MIUI上,这些应用程序无需密码就可以取消安装,“研究人员指出。
研究人员指出的另一个重要安全漏洞是Mi Mover应用程序在将数据从一个设备传输到另一个设备时不需要密码。
“从安全的角度来看,MIUI中实施的卸载过程会带来严重的安全威胁,因为应用程序实施的身份验证过程被绕过了,”他们补充道。
eScan发现的安全问题
eScan的研究人员发现小米的MIUI操作系统存在以下问题。
- MI-Mover App会覆盖Android OS的应用程序沙箱
- 可以卸载任何设备管理员应用程序,而无需撤消其设备管理员权限
- MI-Mover的小米可以在几分钟内克隆而无需根设备
- MIUI设备而不是删除,隐藏了Work-Profile Admin应用程序
- 从企业移动性管理的安全角度来看,工作区配置文件无法与个人配置文件区分开来,构成严重挑战
GT也测试了安全漏洞
在所有这些问题中,最紧迫和最普遍的问题是攻击安全应用程序的漏洞和另一个与Mi Mover相关的漏洞。
与GuidingTech谈话时,小米发言人一直强调,该设备的针/图案/指纹扫描仪是不必要的进入的第一道屏障,并利用研究中提到的任何漏洞,这个安全障碍必须被打破。
安全应用测试
首先,我们测试了安全漏洞,该漏洞声明可以删除任何具有设备管理员权限的应用程序而不撤消这些权限。
本身,我们在小米Mi Max 2设备和非小米设备(作为控制器)上安装了Cerberus防盗应用程序。 在OnePlus 5和Samsung Galaxy J7 Max(均在Android 7上运行)设备上卸载Cerebrus应用程序时,手机会询问系统密码以及Cerberus应用程序密码。
但是当我们尝试从Mi Max 2设备卸载Cerberus时,该应用程序只需卸载而无需任何额外输入 - 读取密码。
另请阅读:5次尝试是破解Android模式锁定的全部内容Mi Mover测试
小米发言人在给GuidingTech的声明中提到,为了在设备上使用Mi Mover,需要输入密码。
因此,我们发现了两个小米设备 - Mi Max 2和Redmi 4A - ,在它们上面放置了指纹和图案锁,并检查了Mi Mover功能。 令我们惊讶的是(或不!)Mi Mover应用程序没有要求任何密码。
它只是问我们谁将发送数据,谁将接收它以及需要发送所有系统或应用程序数据的内容。 还有瞧! 在Mi Mover应用程序完成传输数据之前或之后,无需输入任何密码即可启动数据传输。
此漏洞也很重要,因为任何能够访问未锁定的小米设备的人都可以轻松克隆设备的所有内容,包括系统和应用程序数据。
小米一直专注于第一个安全层锁定手机的事实,但即使在未锁定的手机上,也需要采取其他Android指南以避免进一步损坏 - 例如2FA和应用专用密码。
小米说的是什么
以下是小米的完整陈述:
Escan今天早些时候分享了一份报告,其中列出了MIUI中几乎没有关注的问 我们强烈不同意埃斯坎在其报告中提出的指控。 作为一家全球互联网公司,小米采取一切可能的措施来确保我们的设备和服务符合我们的隐私政策。
任何获得对未锁定电话的物理访问权的犯罪者都能够进行恶意活动,并且未锁定的电话极有可能导致用户数据被盗。
这就是为什么我们Xiaomi鼓励我们的用户更加注意使用PIN,图案锁或我们大多数智能手机上提供的板载指纹传感器来保护他们的私人数据。 实际上,提示用户启用指纹锁是设置首次使用的小米智能手机时的标准步骤。
Mi Mover旨在成为我们用户将数据从旧智能手机移动到新手机的便捷工具。 为了让Mi Mover启动此过程,需要密码。
更重要的是,为了使用Mi Mover,必须解锁智能手机。
因此,用户有两层保护 - 手机锁和必要的Mi Mover密码。