小米手機預裝的安全程式Guard Provider暗藏中間人攻擊漏洞

資安業者Check Point最近發現，小米手機中所預裝、理應用來保護手機免受惡意程式攻擊的安全程式Guard Provider竟然含有安全漏洞，允許與手機用戶位於同一Wi-Fi網路的駭客執行中間人（Man-in-the-Middle，MiTM）攻擊，追究其原因則是源自於「SDK疲勞」（SDK Fatigue）。

Check Point的安全研究人員Slava Makkaveev解釋，所有主流的小米手機都預裝了Guard Provider，而Guard Provider則採用許多第三方的軟體開發套件（SDK），包括3款不同的防毒軟體品牌：Avast、AVL與騰訊，並以Avast作為預設值。

Makkaveev指出，由於Avast的更新機制採用不安全的HTTP傳輸，使得駭客得以偵測更新時間及猜測該APK檔案的名稱，進而阻擋手機與Avast伺服器之間的連結，在促使用戶將防毒工具切換至AVL之後，AVL除了同樣也採用不安全的HTTP傳輸之外，其解壓縮程序更含有路徑跨越（Path Traversal）漏洞，允許駭客竄改Guard Provider程式沙箱中的任何檔案，包括其它SDK的檔案。

於是，駭客只要再阻攔AVL與伺服器的連線，讓使用者再切換回Avast，此時Avast的SDK就能載入及執行駭客所植入的惡意程式。

Check Point認為此一案例彰顯了「SDK疲勞」的問題，軟體開發套件（SDK）原本是要簡化開發人員打造程式的流程，但在同一程式中使用多種不同的SDK固然能強化程式功能，卻也會衍生更多問題，涵蓋當機、惡意程式、隱私外洩、讓裝置變成吃電怪獸或效能變差等。

根據統計，現在每個行動程式平均使用了18個SDK，但只要其中一個SDK出現問題，就會危及其它所有SDK的安全性，此外，單一SDK的私有儲存資料並無法被隔離，也因此能被其它SDK存取。

IDC的調查顯示，小米現為全球第四大手機製造商，去年第四季的佔有率為7.1%，僅次於三星、蘋果及華為。意謂著全球有為數眾多的小米手機都曝露在Guard Provider的安全風險中，小米在收到Check Point的通知之後很快就修補了該漏洞。