小米的Guard Provider應用程序中的漏洞可能會將設備暴露給惡意軟件

許多人認為他們唯一需要做的就是安裝某種安全軟件。他們傾向於將反惡意軟件產品視為可以保證其數據安全的萬能藥。正如我們今天所知，這是一個完全錯誤的假設。

與許多其他Android設備製造商一樣，小米通過一些預裝的應用程序和工具銷售其平板電腦和手機。其中包括Guard Provider - 一種安全應用程序，可以掃描設備中的惡意軟件，清除不需要的信息，並提高系統性能。最近，Check Point的研究人員在Guard Provider中發現了一個漏洞 ，如果被利用，可能會引起很多麻煩。讓我們看看它是如何工作的。

多個SDK可提供額外的功能和更高的風險

您可能知道，小米並不以其反惡意軟件產品而聞名，這意味著當它將Guard Provider應用程序整合在一起時，中國手機製造商需要實施第三方的掃描和檢測功能。然而，小米的開發人員決定讓用戶自由選擇他們最信任的AV公司，而不是只使用一個安全廠商。小米所有者可以在Avast，AVL和騰訊之間進行選擇，這意味著Guard Provider應用程序中已經實現了三個獨立的軟件開發工具包（或SDK）。

SDK是一組工具，旨在為特定操作系統創建應用程序。雖然我們在這種情況下談論同一個操作系統（Android），但不同的AV供應商為他們的掃描儀使用了不同的SDK，這意味著小米別無選擇，只能實現所有這三個。

這本身並不常見，但正如Check Point指出的那樣，它確實帶來了額外的風險，例如，SDK在同一環境中工作並且可以訪問相同的數據。因此，破壞一個SDK的保護可能會徹底破壞整個應用程序的安全性。將此與不安全的連接結合起來，最終得到一個相當合理的漏洞利用場景。

利用小米衛隊提供者

Guard Provider是具有AV功能的產品，這意味著必須有一種機制來定期更新應用程序的病毒定義。 Check Point專家在將應用程序拆開時注意到的第一件事就是Avast和AVL的SDK通過HTTP而不是HTTPS更新了他們的定義。這自動意味著如果黑客和受害者連接到同一Wi-Fi網絡，則可以實現中間人情景。

多虧了這一點，攻擊者可以預測Avast的SDK何時會嘗試更新其定義。更新的定義將作為APK文件下載，並在文件名中包含時間戳。在他們弄清楚下一個時間戳是什麼之後，黑客需要禁用Avast並使AVL成為默認的防病毒軟件。因為它們仍處於“中間”，所以這樣做就像在嘗試連接到後端時給Avast SDK出現404錯誤一樣簡單. Guard Provider自動切換到AVL，從而結束攻擊的第一階段。

一旦AVL成為首選的防病毒軟件，它就會連接到它的後端並下載一個配置文件，該文件告訴SDK它可以在哪裡找到可用的更新。不幸的是，這也是通過HTTP完成的，這意味著攻擊者可以更改配置文件，誘使Guard Provider下載包含惡意APK文件的精心製作的ZIP存檔。

最終目標是欺騙AVL SDK從存檔中提取APK，並使用正確的時間戳將其保存在正確的位置，以將其作為Avast定義更新進行屏蔽。由於路徑遍歷漏洞以及多個SDK可以訪問相同數據的事實，這是可能的。

最後一步是讓Guard Provider將AV掃描器切換回Avast，這意味著Avast的SDK將自動運行惡意APK文件。

小米已經修補了這個漏洞

我們談論的是遠程代碼執行。攻擊者可以將任何他們想要的東西放入APK，這意味著潛在的攻擊可能導致從不受歡迎的廣告和應用程序到密碼被盜甚至勒索軟件感染的任何事情。那麼，這個漏洞已經被修補了。

在發現安全問題後，Check Point立即聯繫了小米，中國手機製造商迅速發布補丁。如果您還沒有，請確保您正在運行Guard Provider的最新版本。

具有諷刺意味的是，安全產品易受網絡攻擊的影響並沒有在我們身上丟失，但事實是，AV軟件仍然是軟件意味著它不可避免地帶來了可被利用的漏洞和漏洞。說到Android，問題尤其令人討厭。

上述攻擊並不容易實現，但每天都會出現其他更為瑣碎的威脅， 研究表明，您在Google Play上找到的大多數安全應用程序都是無用的。除了確保您使用的安全產品是真實的，自動更新已打開以及您的設備上沒有陰暗的應用程序之外，您無法做很多事情。