小米手机预装的安全应用程序中存在漏洞

小米修复了Guard Provider中的一个安全漏洞,后者是所有最新的小米智能手机附带的默认安全应用程序。

该漏洞使攻击者可以向Guard Provider应用程序注入流量,并插入恶意命令,从而使威胁参与者能够运行恶意代码来接管电话,安装恶意软件或窃取用户的数据。

以色列网络安全公司Check Point的安全研究人员发现了此安全漏洞,他将于今天晚些时候发布有关该问题的详细报告。

由两个SDK之间的交互引起的错误

这个问题的核心漏洞来自于应用程序的设计。Xiaomi Guard Provider应用程序内置了三个不同的防病毒品牌,用户可以选择并保留它们作为默认防病毒软件。这三个是Avast,AVL和腾讯。

该应用程序和这三种防病毒产品均带有不同的编码库(SDK-软件开发工具包),它们可用来支持各种功能。

Check Point表示,这两个SDK(Avast SDK和AVL SDK)之间的交互提供了一种在小米设备上执行代码的方法。

此漏洞的影响有限,但是由于来自小米护卫提供商的流量未加密,因此任何能够注入受害者网络流量的攻击者都可以有效地接管受害者的电话。

这包括中间人攻击方案,例如在路由器上发现的恶意软件,流氓ISP,任何“邪恶访问点”方案以及其他。

厨师太多

Check Point安全研究员Slava Makkaveev说:“以上攻击情形也说明了在一个应用程序中使用多个SDK的危险。” “尽管每个单独的SDK中的小错误通常是一个独立的问题,但是当在同一应用程序中实现多个SDK时,甚至更严重的漏洞可能也不会遥遥无期。”

Makkaveev的评论应引起当今大多数智能手机用户的关注。甲2018研究 Android应用生态系统的发现,嵌入在一个应用程序移动SDK的平均数目是约18。

在应用程序的代码库中大量不同的SDK相互交互时,应用程序制造商可能永远都不知道这些库将如何组合以产生开发人员从未想到的超级错误。

Check Point的发现还证实了上个月发表的一篇学术论文,该论文发现预装应用程序的Android生态系统是一个完整的隐私和安全问题,许多预装应用程序包含安全漏洞,恶意软件,并且收集了大量用户数据而没有为用户提供选择退出或禁用这些违规应用程序的方法。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。