小米的Guard Provider应用程序中的漏洞可能会将设备暴露给恶意软件

许多人认为他们唯一需要做的就是安装某种安全软件。他们倾向于将反恶意软件产品视为可以保证其数据安全的万能药。正如我们今天所知，这是一个完全错误的假设。

与许多其他Android设备制造商一样，小米通过一些预装的应用程序和工具销售其平板电脑和手机。其中包括Guard Provider - 一种安全应用程序，可以扫描设备中的恶意软件，清除不需要的信息，并提高系统性能。最近，Check Point的研究人员在Guard Provider中发现了一个漏洞 ，如果被利用，可能会引起很多麻烦。让我们看看它是如何工作的。

多个SDK可提供额外的功能和更高的风险

您可能知道，小米并不以其反恶意软件产品而闻名，这意味着当它将Guard Provider应用程序整合在一起时，中国手机制造商需要实施第三方的扫描和检测功能。然而，小米的开发人员决定让用户自由选择他们最信任的AV公司，而不是只使用一个安全厂商。小米所有者可以在Avast，AVL和腾讯之间进行选择，这意味着Guard Provider应用程序中已经实现了三个独立的软件开发工具包（或SDK）。

SDK是一组工具，旨在为特定操作系统创建应用程序。虽然我们在这种情况下谈论同一个操作系统（Android），但不同的AV供应商为他们的扫描仪使用了不同的SDK，这意味着小米别无选择，只能实现所有这三个。

这本身并不常见，但正如Check Point指出的那样，它确实带来了额外的风险，例如，SDK在同一环境中工作并且可以访问相同的数据。因此，破坏一个SDK的保护可能会彻底破坏整个应用程序的安全性。将此与不安全的连接结合起来，最终得到一个相当合理的漏洞利用场景。

利用小米卫队提供者

Guard Provider是具有AV功能的产品，这意味着必须有一种机制来定期更新应用程序的病毒定义。 Check Point专家在将应用程序拆开时注意到的第一件事就是Avast和AVL的SDK通过HTTP而不是HTTPS更新了他们的定义。这自动意味着如果黑客和受害者连接到同一Wi-Fi网络，则可以实现中间人情景。

多亏了这一点，攻击者可以预测Avast的SDK何时会尝试更新其定义。更新的定义将作为APK文件下载，并在文件名中包含时间戳。在他们弄清楚下一个时间戳是什么之后，黑客需要禁用Avast并使AVL成为默认的防病毒软件。因为它们仍处于“中间”，所以这样做就像在尝试连接到后端时给Avast SDK出现404错误一样简单. Guard Provider自动切换到AVL，从而结束攻击的第一阶段。

一旦AVL成为首选的防病毒软件，它就会连接到它的后端并下载一个配置文件，该文件告诉SDK它可以在哪里找到可用的更新。不幸的是，这也是通过HTTP完成的，这意味着攻击者可以更改配置文件，诱使Guard Provider下载包含恶意APK文件的精心制作的ZIP存档。

最终目标是欺骗AVL SDK从存档中提取APK，并使用正确的时间戳将其保存在正确的位置，以将其作为Avast定义更新进行屏蔽。由于路径遍历漏洞以及多个SDK可以访问相同数据的事实，这是可能的。

最后一步是让Guard Provider将AV扫描器切换回Avast，这意味着Avast的SDK将自动运行恶意APK文件。

小米已经修补了这个漏洞

我们谈论的是远程代码执行。攻击者可以将任何他们想要的东西放入APK，这意味着潜在的攻击可能导致从不受欢迎的广告和应用程序到密码被盗甚至勒索软件感染的任何事情。那么，这个漏洞已经被修补了。

在发现安全问题后，Check Point立即联系了小米，中国手机制造商迅速发布补丁。如果您还没有，请确保您正在运行Guard Provider的最新版本。

具有讽刺意味的是，安全产品易受网络攻击的影响并没有在我们身上丢失，但事实是，AV软件仍然是软件意味着它不可避免地带来了可被利用的漏洞和漏洞。说到Android，问题尤其令人讨厌。

上述攻击并不容易实现，但每天都会出现其他更为琐碎的威胁， 研究表明，您在Google Play上找到的大多数安全应用程序都是无用的。除了确保您使用的安全产品是真实的，自动更新已打开以及您的设备上没有阴暗的应用程序之外，您无法做很多事情。