魅族Flyme 再爆漏洞，安全问题困扰“青年良品”

昨晚6点开始，有魅族用户在魅族官方论坛反应FlymeOS系统存在隐私泄露隐患，即同步数据时出现错乱现象，而这并不是个例，大量Flyme用户纷纷在论坛上表示出现了类似情况。

随后该类问题瞬间刷爆了魅族论坛。用户反馈的问题如下：

1、同步手机信息时，通讯录、短信、通话记录以及便签等内容同出现大量陌生信息，这些信息包括陌生联系人、各类用户账号密码及银行卡号等；

2、另外，有的用户Flyme账号直接显示的是陌生号；甚至还有网友表示同步信息后，联系人大量离奇消失。

出现这样的问题后，网友们纷纷调侃Bugme的称号非Flyme莫属，甚至还有不少魅黑趁虚而入。

系统出现Bug本来是不可避免的事，但是让用户感到不爽的是，魅族官方没有在第一时间做出回应，反倒是在论坛内大量删帖，这引起了广大网友的吐槽。晚上10点魅族官方首次在论坛上做出了回应，承认故障确实存在，并且表示同步异常由程序员的错误改动导致，魅族还承诺一个小时内可以完成修复。

不过今早魅族修改了该官方贴，宣称同步异常的只是通话记录和短信等，便签和云相册并没有受到影响。而且公开透露了异常的起因：由于程序BUG，在多线程的场景中，标识错位引起。而且受影响的账号数据已经从今日凌晨1：30开始回档。

　异常时间线：

8月19日 01：30 受影响账号，数据开始回档

8月18日 23：53 确认修复方案

8月18日 22：13 发布第一次公告

8月18日 20：40 确定原因

8月18日 18：30 发现异常，业务紧急降级 ，控制影响

8月18日 18：00 版本发布

　异常现象：

期间，部分用户的同步数据如通话记录、短信等受到了影响，表现为数据错乱。基本不会对便签、云相册造成影响。

异常原因：

由于程序BUG，在多线程的一个场景中，标识错位引起。

另外，根据用户反馈的情况来看，不少用户是在升级Flyme系统后同步数据时才出现该问题。在魅族修复该漏洞之前，有热心网友给出了解决办法：

第一步：退出账户 设置-账户-我的flyme（4.5.4A）-点击用户名进入个人中心-退出账户

（ps：退出前会检测当前手机的账户数据，会弹出 “退出前同步数据 ”如果不是自己的请选择退出）

第二步：重新登陆flyme账户 设置-账户-我的flyme。

为了免遭隐私被泄露，有用户表示已经删除了Flyme 云端的所有信息，同时并Flyme账号，改用其它云服务软件。回顾此次漏洞事件的整个过程，魅族官方只是发布了一个简短的确认异常的通告，并没有给出任何应对方案。尽管，网友纷纷在微博上@魅族科技、@flyme、@杨颜，也都没有得到正面回应，魅族对于用户安全的漠视再次引起了不满。事实上，这已不是魅族Flyme第一次出云安全漏洞。

2012年，Flyme OS 1.1.5也发现了类似的BUG，例如短信无法同步、信息丢失以及隐私泄露风险。当时有媒体对该版本和Flyme OS 2.0进行了测试，除了出现同步出别人的信息外，还有同步失败导致信息无故删除的情况。

2014年11月，魅族论坛又因设计存在缺陷，导致一系列“盗号事件”，就连CEO 黄章的账号也未能幸免，并发布了“大家好，我的账号被盗了”的帖子。之后，网名为“GLZJIN”的网络安全人士便在自己的博客中发布信息，截图证明其已“登陆”魅族CEO黄章账号，并声称其发现魅族存在重大漏洞。

当时国内安全网站乌云网公开表示，因为魅族论坛和魅族手机共用Flyme的账号系统，只要知道魅族用户的用户名或手机号就可以获取密码。当时IDF网络安全实验室联合创始人Archer表示，魅族论坛账号漏洞属于设计缺陷。

3年之内，魅族先后3次爆出大规模漏洞问题，这对于任何一家拥有千万级用户的公司来说都是不能容忍的。这样的情况，除了说明魅族对于用户安全的漠视程度外，魅族内部技术团队的整体水平也可见一斑。以至于有用户在知乎上吐槽，“魅族的程序是由‘内部几百个美工’写的”。

目前国内手机战已经从之前单纯的拼性能上升到拼服务、拼生态环节。考虑到魅族只是一个小厂商（白总原话），想要从众多手机品牌中突围，依靠“青年良品”的品牌定位已经没有太大的差异性了，魅族唯独在产品、服务等方面做到极致才有一点可能性。然而，接二连三的安全事件只会让魅族被打上更多的负面标签，从而被粉丝所抛弃（据笔者观察，身边已经有多个“*”粉转路人）。“攘外必先安内”，国际化大战略可以先放一边，在产品和服务上多用点心，不要辜负了剩下的*的信任。留给魅族的时间和机会不多了！