小米手機預裝的安全程式Guard Provider暗藏中間人攻擊漏洞
Guard Provider採用的第三方軟體開發套件Avast,由於更新機制採
用HTTP傳輸,使駭客得以阻擋手機與Avast伺服器之間的連結
文/陳曉莉 | 2019-04-07發表
資安業者Check Point最近發現,小米手機中所預裝、理應用來保護
手機免受惡意程式攻擊的安全程式Guard Provider竟然含有安全漏洞
,允許與手機用戶位於同一Wi-Fi網路的駭客執行中間人(
Man-in-the-Middle,MiTM)攻擊,追究其原因則是源自於「SDK疲勞
」(SDK Fatigue)。
Check Point的安全研究人員Slava Makkaveev解釋,所有主流的小米
手機都預裝了Guard Provider,而Guard Provider則採用許多第三方
的軟體開發套件(SDK),包括3款不同的防毒軟體品牌:Avast、AVL
與騰訊,並以Avast作為預設值。
Makkaveev指出,由於Avast的更新機制採用不安全的HTTP傳輸,使得
駭客得以偵測更新時間及猜測該APK檔案的名稱,進而阻擋手機與
Avast伺服器之間的連結,在促使用戶將防毒工具切換至AVL之後,
AVL除了同樣也採用不安全的HTTP傳輸之外,其解壓縮程序更含有路
徑跨越(Path Traversal)漏洞,允許駭客竄改Guard Provider程式
沙箱中的任何檔案,包括其它SDK的檔案。
於是,駭客只要再阻攔AVL與伺服器的連線,讓使用者再切換回Avast
,此時Avast的SDK就能載入及執行駭客所植入的惡意程式。
Check Point認為此一案例彰顯了「SDK疲勞」的問題,軟體開發套件
(SDK)原本是要簡化開發人員打造程式的流程,但在同一程式中使
用多種不同的SDK固然能強化程式功能,卻也會衍生更多問題,涵蓋
當機、惡意程式、隱私外洩、讓裝置變成吃電怪獸或效能變差等。
根據統計,現在每個行動程式平均使用了18個SDK,但只要其中一個
SDK出現問題,就會危及其它所有SDK的安全性,此外,單一SDK的私
有儲存資料並無法被隔離,也因此能被其它SDK存取。
IDC的調查顯示,小米現為全球第四大手機製造商,去年第四季的佔
有率為7.1%,僅次於三星、蘋果及華為。意謂著全球有為數眾多的小
米手機都曝露在Guard Provider的安全風險中,小米在收到Check
Point的通知之後很快就修補了該漏洞。
https://www.ithome.com.tw/news/129805
心得:
全文的重點在最後一段,還好小米已經修復了這個漏洞,不然使用者可是人心惶惶了
當然這件事情其實是不怎麼應該出現的,尤其全世界有這麼多小米手機的用戶