8月25日,360技术博客曝出小米所使用的MIUI系统存在非常明显的安全漏洞,通过该漏洞可以远程获取手机APP的权限。360资深安全专家宋申雷(茄子)透露,在7月份发现该漏洞后,已第一时间通知小米安全响应中心,目前,该漏洞已在最新版MIUI中得到修复。
研究发现,小米MIUI原生浏览器存在意图协议(意图即Intent,是一种运行时绑定机制,它能在程序运行过程中连接两个不同的组件)上的安全问题。宋申雷介绍,小米原生浏览器定制了404页面, 如当前URL不能访问会跳转到小米浏览器定制的404页面,通过点击网页中的链接可以直接进入的Wi-Fi设置页面。
“根据我以往的经验,APP要在静态网页中实现进程间通信主流的方法有两种,一种是通过addJavascriptInterface给webview加入一个javascript桥接接口,通过调用这个接口可以直接操作本地的JAVA接口。另外一种方法是使用Intent.parseUri解析URL,让webview直接支持intent scheme URLs(意图协议URL),通过解析特定格式的URL直接想系统发送意图。”宋申雷在测试中发现,小米原生浏览器完全支持意图协议URL.
宋申雷指出,Intent.parseUri解析URL时完全可以自定义EXTRA DATA和DATA以及acion等,通过符合格式的协议地址向本地任意APP发送任意意图,所以如果本地某个APP的导出组件存在漏洞,从这个入口,黑客可以进行远程攻击。
而另外一个漏洞存在系统中的小米商店APP,该APP的一个导出组件关联的com.xiaomi.shop.ui类初始化了一个WE的addJavascriptInterface漏洞接口,并且没有做任何安全处理。
宋申雷建议安卓开发者在注意用户体验的开发同时也应该关注安全,因为某个APP的易用功能而导致整个系统的安全性大打折扣将得不偿失。目前,小米官方已经修复小米商店APP存在的漏洞,宋申雷建议小米手机和MIUI的用户尽快升级。
(责任编辑:DF141)
,36纸牌屋第四季 0曝小米手机存远程漏洞 或致黑客入侵相关:
亚马逊网站销售盗版书遭起诉 被判侵权 一度因销售盗版书被国家版权局约谈过的亚马逊,如今再遇盗版风波。 今年年初,《人生关键词》一书作者肖宇志发现卓越亚马逊网站上出现了该书的盗版,遂向北京市朝阳区人民法院(以下简称“朝阳法院”)提起了相关诉讼。 日前,朝阳法院一审认定卓越亚马逊网站销售的《人生关键词》一书确为盗版,并要求其停止销售相关书籍。 如今,在卓越亚马逊网站上搜索关键词“肖宇志”,已然显示为“没有找到任何与‘肖宇志’..
燃煤电厂上网电价9月起下调0.93分 将直接打压煤价 国家发改委昨日发布通知,决定自9月1日起在保持销售电价总水平不变的情况下,适当降低燃煤发电企业上网电价,腾出电价空间用于进一步疏导环保电价矛盾。 这份名为《关于疏导环保电价矛盾有关问题的通知》指出,全国燃煤发电企业标杆上网电价平均每千瓦时降低0.93分钱,国家下调这部分电价空间重点用于对脱硝、除尘环保电价矛盾进行疏导。截至目前,全国已累计解决7.1亿千瓦燃煤发电机组脱硝、除尘电价补偿问题,占全部燃..
医药生物行业交出完美答卷 5股中报净利猛增500% 中报行业盘点(一) 医药生物中报靓丽行业成长具有确定性 中报披露进入收关阶段,各大行业上半年的表现也浮出了水面。这其中,医药生物行业中报靓丽;据统计,上半年医药生物行业逾七成公司实现盈利正增长,实现净利润平均增幅达28.12%。分析指出,随着我国老龄化趋势提速、经济的发展和人民生活水平的提高,对生物医药产品的需求日益增加,生物医药行业具有确定的成长性。 行业上半年净利润平均增长近三成 随..
智能交通开启新时代 三大机遇凸显(附股)互联网大佬聚首北京 智能交通成新亮点三大机遇凸显 8月26日至8月28日,2014中国互联网大会将在北京拉开大幕。大会主题围绕“创造无限机会——打造新时代经济引擎”,移动互联网、互联网金融 、可穿戴设备、智能电视、智能交通、大数据 、云计算、电子商务&O2O等20余个热点论坛将轮番上演。据了解,此次共有200余位来自移动互联网、互联网金融、可穿戴设备,智能终端、智能家电、网络安全等多个领域的科技精英与业界领军人..
中国记者就军机拦截逼问 可否把战机飞到夏威夷美国国务院发言人珍妮弗·普萨基25日称,美国的侦察行动一向透明,并且提前告知了中方。这种说法遭到在场的中国记者质疑。 据“美国之音”报道,普萨基在周一的例行记者会上重申五角大楼发言人上周的说法,称中方战机的拦截行为是危险的,包括中国在内的有关各方已知晓美方的飞行计划。但她同时表示,国务卿克里几个月前才到中国参加战略与经济对话,两国官员针对安全议题有过深入讨论。这起战机拦截事件发生后,美国有必要就人..
英国驻美使馆发照片庆祝“火烧白宫”遭声讨为庆祝英国占领华盛顿并火烧白宫200周年,英国驻美国使馆日前举办一场别开生面的烧烤晚宴,并在其官方社交网站上发布一张“火烧白宫”的照片,此举引来美国网民一片声讨,3小时后,英国使馆被迫道歉。 据英国《每日电讯报》25日报道,英军于1814年8月24日曾占领华盛顿26个小时,并火烧了包括白宫和国会大厦在内的多栋建筑,后来由于遭暴风雨和龙卷风袭击,才不得不罢手。 为纪念这个日子,英国驻美国使馆24日在其官方社交网站..
陈菊被质疑挪用气爆捐款为选举 回应:全心灾后重建 部分人士质疑高雄市府将气爆捐款挪为选举之用 原标题:气爆捐款 陈菊都敢挪用? 据台湾“中广新闻网”26日报道 针对部分人士质疑高雄市府将气爆捐款挪为选举之用,民进党籍高雄市长陈菊26日在议会答询时,气愤反驳抹黑,陈菊表示高雄市府团队全心灾后复建,没有想到选举。 据报道,高雄气爆之后,高雄市府在半个月内收到各界捐助善款34亿(新台币),部分人士质疑高雄市府可能将这笔捐款挪为选举之用,并说发放慰助金是以党..
网友:大众有疑虑 就说明陈菊失格原标题:网友:大众有疑虑就说明陈菊失格 导报讯(记者燕子)对于高雄气爆捐款接二连三被质疑,近日又传出恐遭选举挪用,台湾网友可谓意见一箩筐。有人认为陈菊此时救灾不力,等于是自损选情;有人觉得捐款使用状况迭出,恐怕就是真的有问题;还有网友干脆觉得,大众对捐款有疑虑,本身就已经说明陈菊身为高雄市长“实在失格”。 @乖乖轰隆隆:赵少康不是才质问过陈菊为什么扣着捐款不放,就又传被选举挪用了!不管是不是确有..
奥巴马:根除ISIS不容易 短期内不会完成原标题:奥巴马说根除“伊斯兰国”不容易 新华网华盛顿8月26日电(记者易爱军)美国总统奥巴马26日说,根除“伊斯兰国”之类的极端武装不是一件容易的事,而且难以速战速决。 奥巴马当天在美国退伍军人协会于北卡罗来纳州夏洛特举行的年会上发表讲话。他说:“根除像‘伊斯兰国’这样的毒瘤不容易,而且不会在短时间内完成。”奥巴马重申不会向伊拉克派遣作战部队,不会让美国被拖入伊拉克另一场地面战中。 奥巴马..
房祖名不再任上海献血形象大使 地铁拆除其公益广告牌原标题:房祖名不再任献血形象大使 上海地铁拆除其公益广告牌 东方网8月27日消息:据《i时代报》报道,房祖名涉毒案发后,上海地铁内已拆除其担任形象大使的无偿献血公益广告牌。昨天,记者从市血液管理办公室了解到,聘用房祖名担任上海无偿献血形象大使的有效期至今年6月已到期,目前房祖名已不再担任大使一职。