安全提示:魅族 Flyme OS 存在个人隐私安全隐患
Soomal 于 2012.12.21 20:14:22 | 源自:www.soomal.com | 版权:原创 | 平均/总评分:06.72/242

相信许多读者还记得我们一直没有发布魅族MX四核版的体验报告,这是因为我们在MX四核版的测试过程中发现Flyme OS 1.1.5系统提供的云端备份功能可能存在Bug,为了验证这些问题,我们决定等到搭载Flyme OS 2.0版本操作系统的MX2发布之后进行更全面的测试。今天我们已经完成了相关测试,可以确认Flyme OS的云端同步备份功能确实存在Bug,会导致短信无法同步、丢失甚至有泄露隐私的风险。考虑到这些问题对魅族用户的影响,我们决定先发布这份《安全提示》,建议Flyme OS的用户暂时不要使用Flyme OS的云端同步备份功能。本文发布的同时,我们也希望魅族能尽快解决问题。

我们使用魅族MX系列全部3个型号(MX双核版、四核版和MX2)进行测试,其中MX双核版手机仍然使用Flyme OS之前的操作系统,版本号为2.0.6-12169,MX四核版手机为Flyme 1.1.5版,MX2为Flyme 2.0.2版。测试中以MX双核版为数据源,首先将其中的电话本和短信等项目全部同步到魅族服务器,然后通过Flyme OS的云端同步功能将所有数据同步到MX四核版和MX2中。在同步之前,MX四核版和MX2中没有任何用户个人数据。为稳定起见,所有涉及同步操作的测试均通过WIFI完成。

一、部分短信在同步过程中被从手机中删除

  • 这种情况在测试中多次发生,MX双核版中的部分短信在同步完成之后从手机中消失,这些消失的短信之间没有任何明显的关联性或规律。如上图所示,MX双核版手机中与该联系人的第一条短信为2012年6月22日9:18收到的,而服务器上的第一条短信则为2012年2月17日19:40收到的。MX双核版中原有的将近4个月内的短信往来内容在同步过程中毫无征兆地被从手机中删除。我们怀疑可能是在同步的过程中服务器错误地使用了删除指令,而这个功能原本是为用户手机意外丢失时远程清空个人信息所用的。

    更极端的情况是同步之后部分短信彻底丢失,即MX双核版中的某条短信在同步过程中被删除,同步完成之后魅族服务器上也没有。这种情况我们至少遇到2次,由于是最彻底的消失方式,因此暂时无法举证。

    二、短信同步可能导致个人隐私泄露

  • 在我们的测试过程中只发生过1例,虽然非常罕见,但确实存在。在同步的过程中,我们发现由于魅族服务器的问题,可能导致用户的短信被同步到陌生人的手机中。如上图所示,MX四核版从魅族服务器上同步短信之后,我们发现MX四核版中多出了一条陌生的信息,可以看到对方的手机号码,但没有短信内容,其号码归属为山东济南联通。导致这个问题的原因可能是典型的数据库匹配错误。

    三、部分短信无法从服务器同步到手机中,或者无法从手机同步到服务器中

  • 部分短信虽然已经同步到魅族服务器上,但始终无法同步到新的手机中。如上图所示,服务器中与该联系人的第一条短信是2012年2月28日11:32收到的,而MX2同步之后的第一条短信是2012年9月30日23:34收到的,期间约7个月的短信未能从服务器同步到MX2。

  • MX双核版中的部分短信始终无法上传到魅族服务中。如上图所示,MX双核版中2012年7月27日的2条短信未能同步到服务器。如果细心一点,还会发现服务器将与该联系人的第一条短信(2012年6月22日16:08)从MX双核版手机中删除了。

    这两种情况在测试中多次发生,我们推测可能是服务器和手机之间的通讯出现了较严重的数据包丢失,虽然不排除网络连接等客观因素存在的可能性,但至少魅族在服务器端和手机端的数据完整性验证方面均存在缺陷。

    四、部分群发短信在Flyme OS 2.0版本中被分拆成独立的短信

  • 这种情况在首次MX2与魅族服务器同步后发生,部分群发短信被拆分成独立的短信,然后被并入对应的联系人短信中。如上图所示,群发短信被拆分并入对应的联系人短信记录中。我们认为这可能是Flyme OS 2.0开始提供的一项新功能,但这项功能并不完善,拆分后的短信在并入原有记录中时无法按发送时间插入,而是排列在最近一条的位置上。

    五、同步到服务器上的部分短信无故被放入回收站

  • 魅族开放Flyme服务器上的短信管理功能之后,我们发现之前同步到服务器的许多短信莫名其妙进入了“回收站”里,如上图所示。“回收站”用来储存Flyme用户在线删除的短信内容,其功能类似Windows系统中的“回收站”。但在此之前魅族并未开放短信在线管理功能,用户甚至都无法看到自己同步到服务器上的短信内容,所以我们无法理解这么多短信为什么自寻短见。经过与手机短信内容的对比,我们发现回收站中的短信是不会被同步到手机里的,但这些短信也不是同步过程中被从手机中删除的(详见本文第一节)。

    上述5种情况均属随机出现,出问题的短信之间没有明显的规律和联系,与联系人无关、与时间无关、与内容无关……我们也没有发现可能诱发这些问题的原因。在测试过程中Flyme OS从2.0.1升级至2.0.2版,但问题依旧存在。从发现这些问题开始,我们先后2次致电魅族售后,对方表示我们反映的问题他们从未遇到过,因此尚不清楚问题产生的原因,也无法提供解决方案。售后人员承诺在确认问题的原因和解决方案后会以电话的方式联系我们,不过至截稿前尚未接到相关电话。在魅族官方网站的“服务与支持”栏目中,我们发现也有其他用户反应在Flyme同步过程中短信、联系人等资料丢失的问题,说明我们遇到的情况并非个案,而魅族官方也未给予这些用户正面回答。

    云端服务是当前互联网应用的热点之一,但在涉及用户个人隐私的敏感信息上,云端服务是典型的“双刃剑”。近年来,涉及网络信息和隐私被泄露的事件层出不穷,目前个人隐私保护方面的立法和监管尚不完善,用户所能依靠的只有企业自律。Flyme OS下,用户的所有个人信息都能被同步到魅族的服务器上,谁来监督魅族对这些个人信息进行严格有效的保护?如何保证用户的信息不被魅族滥用?魅族又如何确保这些信息的安全?服务器端能确定手机位置并在无任何提示的情况下删除用户手机中的数据,如何确保这项功能不被滥用或盗用?在魅族的官方网站和宣传资料中,我们没有找到任何关于以上问题的有价值信息或提示,用户能看到的只有云端服务的各种优点宣传。在我们看来,这样的作为显然是不合理的。从这一点来看,我们认为魅族无论是技术角度还是经营思路,都没有做好保护用户隐私的准备。

    因此,在这些问题得到妥善解决之前,我们建议魅族MX手机用户禁用Flyme OS的同步备份功能,改用第三方软件替代,也建议使用MX双核版的老用户升级Flyme OS系统时考虑这个问题可能带来的损失。我们希望魅族能以更大力度来保护用户的数据和隐私安全,并尽快拿出切实可靠的解决方案。

    请评分
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    123.153.160.***
    123.153.160.***
    发表于2018.06.02 20:09:08
    157
    014.017.034.***
    014.017.034.***
    发表于2015.08.20 14:44:59
    156
    119.134.***.***
    119.134.***.***
    155
    119.134.***.***
    119.134.***.***
    154
    061.050.133.***
    061.050.133.***
    发表于2013.01.10 22:50:27
    153
    220.249.***.***
    220.249.***.***
    不知为何魅族总是会在很多奇怪的地方犯一些低级错误,还有各种固执的错误。而且从某个时间开始魅族就已经变了。
    发表于2013.01.09 20:51:41
    152
    219.141.***.***
    219.141.***.***
    不只是同步短信的问题,flyme1.1.5开始flyme的功能更加“强”了:
    1、手机上使用正常的用户名密码退出登录后,用户不能选择在本地保留通讯录,通讯录会被强制删除!
    2、手机上禁用“允许查找手机”,在flyme网站上可以强制开启!
    而flyme1.1.3版本没有上述2个问题。
    发表于2013.01.04 13:59:06
    151
    03
    这位IP君:

    Flyme OS屏蔽了本地备份功能,仅支持自己的云端功能,这样的做法是明显带有强迫性质的。而且魅族也在多方面引导用户去使用自己的云端服务,因此Flyme OS的云端功能存在这些缺陷,对消费者的影响就就更严重。

    我想这个道理你应该能明白,因为你的智商都达到会偷换概念的地步了,应该有正常的思维和判断能力,请自重。
    发表于2013.01.02 21:44:27
    150
    114.112.029.***
    114.112.029.***
    发表于2013.01.02 20:14:54
    149
    魅族的信息管理确实有问题,连论坛都会出现混乱的情况,今天我查自己的订单,却出现了另一个人的信息,真是奇怪。
    发表于2013.01.02 20:14:31
    148
    112.090.196.***
    112.090.196.***
    发表于2013.01.02 10:31:44
    147
    123.126.050.***
    123.126.050.***
    发表于2013.01.01 13:54:49
    146
    118.186.252.***
    118.186.252.***
    发表于2013.01.01 02:57:13
    145
    180.157.***.***
    180.157.***.***
    改用第三方软件替代?请问哪款第三方软件没有数码多提出的"隐患"?
    发表于2012.12.30 01:02:15
    144
    059.036.***.***
    059.036.***.***
    数码多不厚道,本文最后提到的问题(不包括短信丢失等),是云端服务的隐患与挑战。数码多不应只针对魅族提出要求。很多公司都提供云服务,包括苹果,由于存在本文提到的隐患,因此我从来不用云服务。
    发表于2012.12.27 00:49:26
    142
    059.042.***.***
    059.042.***.***
    这网站一直黑魅族,雷军旗下的吧
    此帖使用Android提交
    发表于2012.12.27 00:42:42
    141
    059.042.074.***
    059.042.074.***
    发表于2012.12.27 00:39:15
    140
    117.069.***.***
    117.069.***.***
    为什么都是旁观看笑话的???
    没有人自己试试吗??
    2.3到flyme会丢数据。。
    flyme之间的同步会丢东西吗?
    此帖使用Android提交
    发表于2012.12.25 20:34:55
    139
    提示
    本贴不可匿名回复,回复等级为:1 ,您现在正处在潜水状态
    回复
    验证码
    6826 为防止广告机贴垃圾,不得已而为之
    表情
    正文
    京ICP备11010137号 京ICP证110276号 京公网安备110114000469号