科技媒体《ZDNet》报导,中国手机品牌小米在手机上预装的安全应用程序“Guard Provider”存在漏洞。(美联社档案照)
科技媒体《ZDNet》报导,中国手机品牌小米在手机上内建的安全应用程序“Guard Provider”存在漏洞,攻击者可以植入任何恶意程式码,例如密码窃取程式、勒索软件、追踪程式或任何其他类型的恶意软件。
有关Check Point提出Guard Provider存在漏洞疑虑,小米回应说,已知悉该个案并与合作伙伴Avast提出解决方案已修复相关漏洞。
“Guard Provider”原本是内建在小米手机上,用来保护手机免受恶意程式攻击的安全程式;以色列网络安全公司Check Point发现小米手机内件的这款App存在安全漏洞,并发布相关详细报告,小米现已即时修补这项漏洞。
报导指出,小米手机的安全漏洞主要发生在“Guard Provider”的设计,该App采用许多第3方的软件开发套件(SDK),包括3款不同的防毒软件品牌,Avast、AVL与腾讯,使用户可以自由选择想要的防毒功能。
Check Point指出,其中2个SDK Avast、AVL之间的互动,暴露了在小米手机上执行程式码的方法,这个漏洞虽然影响有限,但因为没有加密,因此任何想注入恶意的程式码的攻击者,可以有效地控制受害者的手机,进行中间人(MiTM)攻击。
资安研究员Slava Makkaveev指出,上述漏洞说明了在同1个App中使用多个SDK的危险性,1个SDK中的错误都是独立的问题,但当1个App里使用多个SDK可能发生更严重的问题;2018年对Android系统手机App研究显示,平均每个App会使用超过18个SDK。
小米手机上内建的安全应用程序“Guard Provider”。(截自《ZDNet》)
