魅族Flyme 再爆漏洞,安全问题困扰“青年良品”

昨晚6点开始,有魅族用户在魅族官方论坛反应Flyme OS系统存在隐私泄露隐患,即同步数据时出现错乱现象,而这并不是个例,大量Flyme用户纷纷在论坛上表示出现了类似情况。

随后该类问题瞬间刷爆了魅族论坛。用户反馈的问题如下:

1、同步手机信息时,通讯录、短信、通话记录以及便签等内容同出现大量陌生信息,这些信息包括陌生联系人、各类用户账号密码及银行卡号等;

 

2、另外,有的用户Flyme账号直接显示的是陌生号;甚至还有网友表示同步信息后,联系人大量离奇消失。

出现这样的问题后,网友们纷纷调侃Bugme的称号非Flyme莫属,甚至还有不少魅黑趁虚而入。

系统出现Bug本来是不可避免的事,但是让用户感到不爽的是,魅族官方没有在第一时间做出回应,反倒是在论坛内大量删帖,这引起了广大网友的吐槽。晚上10点魅族官方首次在论坛上做出了回应,承认故障确实存在,并且表示同步异常由程序员的错误改动导致,魅族还承诺一个小时内可以完成修复。

不过今早魅族修改了该官方贴,宣称同步异常的只是通话记录和短信等,便签和云相册并没有受到影响。而且公开透露了异常的起因:由于程序BUG,在多线程的场景中,标识错位引起。而且受影响的账号数据已经从今日凌晨1:30开始回档。

异常时间线:

8月19日 01:30 受影响账号,数据开始回档

8月18日 23:53 确认修复方案

8月18日 22:13 发布第一次公告

8月18日 20:40 确定原因

8月18日 18:30 发现异常,业务紧急降级 ,控制影响

8月18日 18:00 版本发布

 

异常现象:

期间,部分用户的同步数据如通话记录、短信等受到了影响,表现为数据错乱。基本不会对便签、云相册造成影响。

异常原因:

由于程序BUG,在多线程的一个场景中,标识错位引起。

另外,根据用户反馈的情况来看,不少用户是在升级Flyme系统后同步数据时才出现该问题。在魅族修复该漏洞之前,有热心网友给出了解决办法:

第一步:退出账户 设置-账户-我的flyme(4.5.4A)-点击用户名进入个人中心-退出账户
(ps:退出前会检测当前手机的账户数据,会弹出 “退出前同步数据 ”如果不是自己的请选择退出)
第二步:重新登陆flyme账户 设置-账户-我的flyme。

为了免遭隐私被泄露,有用户表示已经删除了Flyme 云端的所有信息,同时并Flyme账号,改用其它云服务软件。回顾此次漏洞事件的整个过程,魅族官方只是发布了一个简短的确认异常的通告,并没有给出任何应对方案。尽管,网友纷纷在微博上@魅族科技、@flyme、@杨颜,也都没有得到正面回应,魅族对于用户安全的漠视再次引起了不满。事实上,这已不是魅族Flyme第一次出云安全漏洞。

2012年,Flyme OS 1.1.5也发现了类似的BUG,例如短信无法同步、信息丢失以及隐私泄露风险。当时有媒体对该版本和Flyme OS 2.0进行了测试,除了出现同步出别人的信息外,还有同步失败导致信息无故删除的情况。

2014年11月,魅族论坛又因设计存在缺陷,导致一系列“盗号事件”,就连CEO 黄章的账号也未能幸免,并发布了“大家好,我的账号被盗了”的帖子。之后,网名为“GLZJIN”的网络安全人士便在自己的博客中发布信息,截图证明其已“登陆”魅族CEO黄章账号,并声称其发现魅族存在重大漏洞。

当时国内安全网站乌云网公开表示,因为魅族论坛和魅族手机共用Flyme的账号系统,只要知道魅族用户的用户名或手机号就可以获取密码。当时IDF网络安全实验室联合创始人Archer表示,魅族论坛账号漏洞属于设计缺陷。

3年之内,魅族先后3次爆出大规模漏洞问题,这对于任何一家拥有千万级用户的公司来说都是不能容忍的。这样的情况,除了说明魅族对于用户安全的漠视程度外,魅族内部技术团队的整体水平也可见一斑。以至于有用户在知乎上吐槽,“魅族的程序是由‘内部几百个美工’写的”。

目前国内手机战已经从之前单纯的拼性能上升到拼服务、拼生态环节。考虑到魅族只是一个小厂商(白总原话),想要从众多手机品牌中突围,依靠“青年良品”的品牌定位已经没有太大的差异性了,魅族唯独在产品、服务等方面做到极致才有一点可能性。然而,接二连三的安全事件只会让魅族被打上更多的负面标签,从而被粉丝所抛弃(据笔者观察,身边已经有多个“煤油”粉转路人)。“攘外必先安内”,国际化大战略可以先放一边,在产品和服务上多用点心,不要辜负了剩下的煤油的信任。留给魅族的时间和机会不多了!

来源:http://www.leiphone.com/news/201508/Vrl6r95h5ldKIJAf.html

未经允许不得转载:博海拾贝 » 魅族Flyme 再爆漏洞,安全问题困扰“青年良品”