Uma Vulnerabilidade no Aplicativo Guard Provided da XiaoMI Pode Expor os Dispositivo a Malware
Muita gente assume que a única coisa que precisam fazer para proteger os seus dispositivos é instalar algum tipo de software de segurança. Elas tendem a ver os produtos anti-malware como uma panacéia que pode garantir a segurança dos seus dados. Isso, como veremos hoje, é uma suposição completamente errada.
Como muitas outras fabricantes de dispositivos Android, a Xiaomi vende os seus tablets e telefones com alguns aplicativos e ferramentas pré-instalados. Dentre eles está o Guard Provider - um aplicativo de segurança que procura por malware no dispositivo, limpa informações indesejadas, e melhora a performance do sistema. Recentemente, os pesquisadores da Check Point encontraram uma vulnerabilidade no Guard Provider que, se explorada, pode causar dores de cabeça. Veremos como isso funciona.
Índice
SDKs múltiplos para uma funcionalidade adicional e um grande risco
A Xiaomi, como você provavelmente sabe, não é reconhecida pelos seus produtos anti-malware, o que significa que quando estava implementando o Guard Provider, a produtora de telefone chinesa precisava implementar a funcionalidade de varredura e detecção de terceiros. Ao invés de usar apenas um fabricante de segurança, entretanto, os desenvolvedores da Xiaomi decidiram dar aos usuários a liberdade de escolher a companhia de anti-vírus que eles mais confiavam. Os donos de um Xiaomi poderiam escolher entre Avast, AVL, e Tencent, o que significa que três Kits de Desenvolvimento de Software (SDK) separados foram implementados no aplicativo Guard Provider.
Um SDK é uma coleção de ferramentas designadas para a criação de aplicativos para um sistema operacional específico. Embora estejamos falando sobre um mesmo sistema neste caso (Android), os diferentes fabricantes de anti-vírus usaram diferentes SDKs para as suas digitalizaçōes, o que significa que a Xiaomi não tinha outra escolha além implementar todas as três.
Isso em si não é incomum, mas como a Check Point ressaltou, traz um risco adicional, como por exemplo, o fato de que o SDKs trabalha no mesmo ambiente e pode acessar os mesmos dados. Como resultado, comprometendo a proteção de um SDK pode arruinar completamente a segurança do aplicativo inteiro. Ligue isso a outra conexão insegura, e você tem um cenário plausível para uma exploração.
Explorando o Guard Provider da Xiaomi
O Guard Provider é um produto com funcionalidade anti-vírus, o que significa que deve haver um mecanismo para atualizar regularmente as definições de vírus do aplicativo. Uma das primeiras coisas que os especialistas da Check Point perceberam quando eles desmontaram o aplicativo, foi que o SDK da Avast e da AVL atualizam as suas definições através do HTTP ao invés do HTTPS. Isso, automaticamente, significa que um cenário de um Man-in-the-middle (Homem no Meio) é possível se os hackers e a vítima estiverem conectados à mesma rede Wi-Fi.
Graças a isso, os atacantes podem prever quando o SDK do Avast tentará atualizar as suas definições. As definições atualizadas são baixadas como arquivos APK e incluem a data e hora no nome do arquivo. Depois de descobrir a próxima data e hora, os hackers precisam desabilitar o Avast e fazer do AVL o anti-vírus padrão. Porque eles ainda estão “no meio”, fazer isso é tão simples quanto dar ao SDK do Avast um erro 404 quando tentar conectar-se ao seu backend. O Guard Provider automaticamente muda para o AVL, o que conclui o primeiro estágio do ataque.
Assim que o AVL se torna o anti-vírus escolhido, ele se conecta ao seu backend e baixa o arquivo de configuração que diz ao SDK onde encontrar as atualizações disponíveis. Infelizmente, isso também é feito via HTTP, o que significa que os atacantes podem trocar o arquivo, enganando o Guard Provider para baixar um arquivo ZIP que contém um APK malicioso.
O objetivo principal é enganar o SDK do AVL para extrair o APK do arquivo e, salvando-o na localização correta com a data e hora corretos, mascará-lo como se fosse uma atualização de definições do Avast. Graças a uma vulnerabilidade de caminhos transversais e o fato de múltiplos SDKs terem acesso aos mesmos dados, isso é possível.
O último passo é fazer o Guard Provider trocar o digitalizador anti-vírus de volta para o Avast, o que significa que o SDK do Avast irá automaticamente executar o arquivo APK malicioso.
A Xiaomi já consertou a brecha
Estamos falando de uma execução remota de código. Os atacantes podem pôr o que quiserem na APK, significando que um ataque em potencial pode resultar em qualquer coisa entre propagandas indesejadas e senhas de aplicativos roubadas e até mesmo uma infecção por ransomware. É bom, então, que a vulnerabilidade tenha sido corrigida.
Após descobrir o problema de segurança, a Check Point imediatamente contatou a Xiaomi, e a fabricante chinesa de telefone rapidamente preparou uma correção. Se você ainda não fez isso, tenha a certeza de estar rodando a última versão do Guard Provider.
A ironia que um produto de segurança seja vulnerável a ciberataques não está perdida, mas o fato é que, um software anti-vírus é ainda um software, o que significa que inevitavelmente ele vem com problemas e brechas que podem ser exploradas. Quando o assunto é Android, os problemas são particularmente desagradáveis.
O ataque descrito acima não é fácil de ser executado, mas outras ameaças mais triviais aparecem todos os dias, e pesquisas sugerem que a maioria dos aplicativos de segurança que você achará no Google Play são inúteis. Não há muito o que você possa fazer a não ser ter a certeza de que o produto que usa é real, que as atualizações automáticas estão habilitadas, e que não há aplicativos sombrios no seu dispositivo.
