圖片來源: 

小米

資安業者Check Point最近發現,小米手機中所預裝、理應用來保護手機免受惡意程式攻擊的安全程式Guard Provider竟然含有安全漏洞,允許與手機用戶位於同一Wi-Fi網路的駭客執行中間人(Man-in-the-Middle,MiTM)攻擊,追究其原因則是源自於「SDK疲勞」(SDK Fatigue)。

Check Point的安全研究人員Slava Makkaveev解釋,所有主流的小米手機都預裝了Guard Provider,而Guard Provider則採用許多第三方的軟體開發套件(SDK),包括3款不同的防毒軟體品牌:Avast、AVL與騰訊,並以Avast作為預設值。

Makkaveev指出,由於Avast的更新機制採用不安全的HTTP傳輸,使得駭客得以偵測更新時間及猜測該APK檔案的名稱,進而阻擋手機與Avast伺服器之間的連結,在促使用戶將防毒工具切換至AVL之後,AVL除了同樣也採用不安全的HTTP傳輸之外,其解壓縮程序更含有路徑跨越(Path Traversal)漏洞,允許駭客竄改Guard Provider程式沙箱中的任何檔案,包括其它SDK的檔案。

於是,駭客只要再阻攔AVL與伺服器的連線,讓使用者再切換回Avast,此時Avast的SDK就能載入及執行駭客所植入的惡意程式。

Check Point認為此一案例彰顯了「SDK疲勞」的問題,軟體開發套件(SDK)原本是要簡化開發人員打造程式的流程,但在同一程式中使用多種不同的SDK固然能強化程式功能,卻也會衍生更多問題,涵蓋當機、惡意程式、隱私外洩、讓裝置變成吃電怪獸或效能變差等。

根據統計,現在每個行動程式平均使用了18個SDK,但只要其中一個SDK出現問題,就會危及其它所有SDK的安全性,此外,單一SDK的私有儲存資料並無法被隔離,也因此能被其它SDK存取。

IDC的調查顯示,小米現為全球第四大手機製造商,去年第四季的佔有率為7.1%,僅次於三星、蘋果及華為。意謂著全球有為數眾多的小米手機都曝露在Guard Provider的安全風險中,小米在收到Check Point的通知之後很快就修補了該漏洞。


Advertisement

更多 iThome相關內容