近日,大量的魅族手机用户在微博、贴吧以及魅族论坛等不同的地方反应,自己的手机突然被锁定,界面显示解锁需联系某QQ号,并收取80到几百元不等的费用。被恶意锁定的机型几乎覆盖当前所有魅族主要手机产品,可见该事件并非某个机型的缺陷引起而是Flyme的安全出了问题。(下面两图均来自IT之家的报道)
9月12日下午,魅族发出《关于 Flyme 账户安全的温馨提示》的公告,公告中承认确实有部分用户手机被人远程而已锁定导致无法正常使用,并强调这是一次恶意撞库行为。
在魅族发布声明之后,媒体的相关报道陆续被删除,我们继续以上面引用的IT之家的报道(并不仅仅是IT之家的报道被删除)为例,相关报道如下图所示
被删除后:
熟悉手机行业的人对类似的情况一定不陌生,大名鼎鼎的iPhone就有很多人遇到Apple ID被锁定的问题,而Android手机因为可以刷机的原因一直没出现类似情况,为什么这次魅族会遇到呢?一个重要的原因就是魅族锁BL(BootLoader),由于Bootloader是基于硬件平台的,跟硬件密切相关,所以根本没有通用的Bootloader,这也意味着锁Bootloader之后想刷机会非常困难。魅族用户被攻击应该很大一部分原因就是这个。
魅族说这次事件是一次恶意撞库,撞库简单说就是攻击者已经从其它渠道掌握了很多用户名和密码,由于很多用户在不同网站使用的是相同的帐号密码,因此攻击者可以通过获取到的用户在A网站的账户密码去尝试登录B网站。撞库从某种程度上说是一种撞大运,不同的网站用户群体有着显著的差异,而魅族手机的存量市占率并不高,要匹配魅族用户的数据库要么是先筛选出魅族手机用户的账号密码,要么是先将魅族相关数据库拖库,魅族是否被拖库了这也是个很严重的问题。
其实这不是魅族Flyme 系统第一次出安全问题,2015年4月,Flyme系统升级后出现静默安装App的问题,
2015年8月出现隐私泄露事故,很多网友在魅族官方社区反映自己的通讯录、短信、通话记录、甚至便签等内容都同步过来很多陌生信息,疑似用户隐私遭泄露。
魅族的Flyme系统一直以来都不那么让人放心,对一般用户来说不会去深究到底问题出在哪,只是会感觉这个系统不安全。
希望魅族对安全问题引起足够的重视,希望每个用户对自己的账号密码安全问题有足够的重视,更希望这些不法之徒能够受到法律的惩罚,