记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

小米手机预装App安全中心将用户暴露在威胁之中

智能手机一般都有预装的应用软件,其中一些是非常有用的,而有些是我们从来都不会用的。因为预装的App都有所需的所有权限,一旦这些预装应用不安全或存在漏洞,会对用户隐私和安全带来潜在威胁。Check Point分析发现小米安全中心应用程序就存在安全漏洞,并没有承诺的那么安全和隐私。Check Point研究人员发现小米手机预装应用中存在安全漏洞。更讽刺的是存在漏洞的应用竟然是安全中心(Guard Provider,com.miui.guardprovider),安全中心应用程序本来应该是检测恶意软件、保护用户手机的,但是小米安全中心却将用户暴露在威胁之中。由于网络流量和安全中心应用之间网络流量不安全的本质,攻击者可以连接在
发布时间:2019-04-08 17:25 | 阅读:484374 | 评论:0 | 标签:漏洞 小米

小米智能生活安全守护计划发布 首期奖金池高达50万元

活动简介用户对智能产品的安全要求是小米的首要责任,为此我们发布小米智能生活安全守护计划,该计划针对小米系列智能产品中可能存在的安全隐患,以互联网众包形式邀请广大网络安全专家、白帽团队、电子工程师、爱好者对设备进行安全测试,最大程度发现未知安全风险并对结果重金奖励的测试计划。本期目标产品:米家智能摄像机,是一款 1080P 高清分辨率智能摄像机,支持双向语音传输、2.4/5G双频 Wi-Fi、低功耗蓝牙、活动监测、夜视、SD卡/NAS 视频存储等功能,与米家 APP 完美联动。测试时间 2018年1月12日 -2018年2月22日测试固件版本 >=3.3.10_0155漏洞提交地址 sec.xiaomi.com注:本期仅接受设备本身安全漏洞报告评分标准小米重视产品在任何使用场景中面临的安全风险,并按利用条件
发布时间:2018-01-15 19:15 | 阅读:97954 | 评论:0 | 标签:活动集中营 众测 小米 智能摄像机

首届小米IoT安全峰会的四个精华议题

首届小米IoT开发者大会于11月28日召开,小米创始人、董事长兼CEO雷军现身主会场,亲口诉说发展历程并力推AI音箱“小爱同学”,作为“神秘嘉宾”出场的百度COO陆奇则宣布了和小米的合作。而对安全圈来说,下午的安全峰会才是重头戏。以IoT安全为核心,下午的安全分会场共设置了八个议程,小米AI、云与安全副总裁崔宝秋等演讲者从厂商、攻防等各方面展示了物联网安全的难点与热点。本文挑选了其中四个精华议题,记录并分享如下。小米是一家设备公司,我们不能像一些互联网公司那样肆意使用用户数据。——崔宝秋一、全球最大的物联网设备提供商小米横跨手机、互联网、金融、设备、AI等多个领域,因此,小米的安全问题十分复杂。这种复杂体现在两方面:所有安全问题都可能在小米身上发生;小米对于数据隐私要比其他互联网公司更敏感。小米IoT设备分布图
发布时间:2017-11-29 19:05 | 阅读:158907 | 评论:0 | 标签:行业动态 IoT安全 固件攻击 安全芯片 小米 隐私保护

小米招聘路由器wifi测试工程师

北京小米科技有限责任公司,成立2010年4月,是一家专注于智能硬件和电子产品研发的移动互联网公司。“为发烧而生”是小米的产品概念。小米公司首创了用互联网模式开发手机操作系统、发烧友参与开发改进的模式。 小米招聘路由器wifi测试工程师 工作职责: 1.      智能路由器Wi-Fi、数据通信各基础模块功能、性能测试;理解智能路由器、APP、服务器各类交互场景; 2.      对外测试,用户场景问题分析/复现,技术支持(性格积极进取、有责任心,完成问题复现并推动解决); 3.      小米生态链、智能家居产品与小米路由器的对接; 4.  
发布时间:2017-08-13 21:55 | 阅读:2077116 | 评论:0 | 标签:安全招聘 小米

小米安全中心招聘

小米科技有限责任公司成立于2010年4月,是一家专注于智能硬件和电子产品研发的移动互联网公司。创立至今,在手机电商领域,小米依然保持第一。小米2017年目标力争收入破千亿。 拥有强大数据积累与领先硬件安全技术的小米安全中心团队现因业务发展需要,诚招以下优秀人才: JAVA服务端开发工程师(帐号,安全,大数据) 招聘人数:5人 薪资范围:10k~不限 岗位职责: 1、帐号方向:负责小米云平台帐号服务端JAVA开发;负责亿级别用户系统的服务端架构设计、开发调优 2、安全方向:负责小米企业安全项目服务器JAVA开发与维护,流量分析与威胁感知平台服务端开发 3、大数据方向:负责风控系统的开发和维护,安全/电商大数据挖掘,数据建模,对机器学习算法有一定了解 岗位要求: 1、精通Java编程,熟悉常用web框架,对Jav
发布时间:2017-01-20 09:15 | 阅读:139150 | 评论:0 | 标签:招聘 小米 小米安全

重要消息|小米手机物流数据泄露 数量或达几十万

据最新消息,白帽汇NOSEC威胁情报平台收到一条威胁情报,有人在QQ群发售小米订单数据。据称,所有的数据有几十万,仅2016年的数据就有几万。据白帽汇情报分析员分析,初步判定为物流数据,受影响厂商是小米(xiaomi.com),可能的泄露点是物流相关平台。因为该受害企业此次泄露无用户账户信息,仅仅是物流信息。虽然数据一般人看起来用处不是很大,但到了对别有用心的骗子手中,将对用户产生极大的经济威胁。从目前的快递单号来分析,都是EMS快递。如果是EMS快递信息泄漏,意味着可能不只是小米一家的数据。经白帽汇研究人员确认,已经验证的信息均为真实,目前正在联系通知受害厂商。问题证明:然后验证一下查询一下单号于第91条的收件地址完全匹配,所以该订单数据正确:  
发布时间:2016-04-11 23:50 | 阅读:97766 | 评论:0 | 标签:威胁情报 小米 数据泄露

MIUI刷机曝重大危险 可致短信照片等个人隐私被盗

日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。对此小米科技官方承认漏洞,并称该漏洞存在于开发者制作的MIUI合作版ROM中。MIUI合作版是小米官网专为其他品牌手机提供的刷机系统,涉及三星、索尼、HTC、LG等十多个手机品牌。所有使用MIUI刷机的手机都受到漏洞影响。根据乌云平台上的描述,黑客可利用MIUI漏洞篡夺系统所有权限,窃取短信等敏感数据、盗用小米账号密码、执行静默安装,甚至把整个系统OTA升级 “一窝端”。也就是说,手机如果用了MIUI刷机,就可被黑客任意摆布,为所欲为。小米官方承认MIUI合作版的签名存在漏洞。签名拥有手机系统至高无上的权力,任何应用申请权限都需要通过系统签名来分配。如果黑客掌握了签名,就可以悄无
发布时间:2016-01-17 11:00 | 阅读:101539 | 评论:0 | 标签:动态 威胁情报 MIUI 小米 漏洞

小米回应:美国Bluebox称小米手机4存在安全漏洞

近日,美国手机安全公司Bluebox称,中国最畅销的Android手机小米4 LTE版预装了恶意APP,并且存在多项安全漏洞。 在报告中,Bluebox表示米4存在预装恶意APP、运行未认证Android系统、存在安全漏洞等一系列的问题。现在,小米对此进行了官方回应。 小米表示,目前的调查表明Bluebox所获得的手机是一部山寨机,因为所有官方售出的小米手机均不会进行刷机处理或预置任何恶意软件。 此外,MIUI也是真正的安卓系统,完全符合安卓的兼容性定义文件(Android CDD)的要求。 具体回应如下: Bluebox公司发布的博文内容含有明显的不准确之处。官方售出的小米手机不会进行刷机处理或预置任何恶意软件。我们目前的调查表明,Bluebox所获得的手机是购自中国的街边非官方渠道的假冒产品。我们正在收集
发布时间:2015-03-16 09:50 | 阅读:94953 | 评论:0 | 标签:业界 android Bluebox 小米 漏洞

国外安全公司发现小米4手机预装恶意软件

数据安全公司Bluebox近日在中国市场购买的小米4手机中发现预装恶意软件及其他一堆安全问题,更加惊悚的是,Bluebox发现小米4手机被不明身份的第三方篡改了。Bluebox上周四发布了一个关于小米4手机存在数据安全问题的报告,指出小米手机存在三大安全风险:1.小米手机禁用了谷歌官方应用商店Google Play Store2.小米手机发布前没有通过Google认证测试。3.小米4手机存在已知安全漏洞(指那些在Google认证版本中已经修复的漏洞)研究者表示测试的小米4手机为“原封正品”,预装了小米的官方应用,但进一步的测试后,安全专家发现小米手机会预先加载数个恶意应用,包括伪装成Google验证应用的广告软件(Yt Service),一个可供黑客远程控制手机的木马软件PhoneGuardService,以及
发布时间:2015-03-09 13:05 | 阅读:103043 | 评论:0 | 标签:动态 移动安全 小米 小米4 小米4手机 小米手机

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云