小米手机预装的安全程式Guard Provider暗藏中间人攻击漏洞
Guard Provider采用的第三方软件开发套件Avast,由于更新机制采
用HTTP传输,使骇客得以阻挡手机与Avast服务器之间的连结
文/陈晓莉 | 2019-04-07发表
资安业者Check Point最近发现,小米手机中所预装、理应用来保护
手机免受恶意程式攻击的安全程式Guard Provider竟然含有安全漏洞
,允许与手机用户位于同一Wi-Fi网络的骇客执行中间人(
Man-in-the-Middle,MiTM)攻击,追究其原因则是源自于“SDK疲劳
”(SDK Fatigue)。
Check Point的安全研究人员Slava Makkaveev解释,所有主流的小米
手机都预装了Guard Provider,而Guard Provider则采用许多第三方
的软件开发套件(SDK),包括3款不同的防毒软件品牌:Avast、AVL
与腾讯,并以Avast作为默认值。
Makkaveev指出,由于Avast的更新机制采用不安全的HTTP传输,使得
骇客得以侦测更新时间及猜测该APK档案的名称,进而阻挡手机与
Avast服务器之间的连结,在促使用户将防毒工具切换至AVL之后,
AVL除了同样也采用不安全的HTTP传输之外,其解压缩程序更含有路
径跨越(Path Traversal)漏洞,允许骇客窜改Guard Provider程式
沙箱中的任何档案,包括其它SDK的档案。
于是,骇客只要再阻拦AVL与服务器的连线,让使用者再切换回Avast
,此时Avast的SDK就能加载及执行骇客所植入的恶意程式。
Check Point认为此一案例彰显了“SDK疲劳”的问题,软件开发套件
(SDK)原本是要简化开发人员打造程式的流程,但在同一程式中使
用多种不同的SDK固然能强化程式功能,却也会衍生更多问题,涵盖
当机、恶意程式、隐私外泄、让装置变成吃电怪兽或效能变差等。
根据统计,现在每个行动程式平均使用了18个SDK,但只要其中一个
SDK出现问题,就会危及其它所有SDK的安全性,此外,单一SDK的私
有储存资料并无法被隔离,也因此能被其它SDK存取。
IDC的调查显示,小米现为全球第四大手机制造商,去年第四季的占
有率为7.1%,仅次于三星、苹果及华为。意谓著全球有为数众多的小
米手机都曝露在Guard Provider的安全风险中,小米在收到Check
Point的通知之后很快就修补了该漏洞。
https://www.ithome.com.tw/news/129805
心得:
全文的重点在最后一段,还好小米已经修复了这个漏洞,不然使用者可是人心惶惶了
当然这件事情其实是不怎么应该出现的,尤其全世界有这么多小米手机的用户