小米手機預裝的安全程式Guard Provider暗 - 手機討論

小米手機預裝的安全程式Guard Provider暗藏中間人攻擊漏洞

Guard Provider採用的第三方軟體開發套件Avast，由於更新機制採
用HTTP傳輸，使駭客得以阻擋手機與Avast伺服器之間的連結

文/陳曉莉 | 2019-04-07發表

資安業者Check Point最近發現，小米手機中所預裝、理應用來保護
手機免受惡意程式攻擊的安全程式Guard Provider竟然含有安全漏洞
，允許與手機用戶位於同一Wi-Fi網路的駭客執行中間人（
Man-in-the-Middle，MiTM）攻擊，追究其原因則是源自於「SDK疲勞
」（SDK Fatigue）。

Check Point的安全研究人員Slava Makkaveev解釋，所有主流的小米
手機都預裝了Guard Provider，而Guard Provider則採用許多第三方
的軟體開發套件（SDK），包括3款不同的防毒軟體品牌：Avast、AVL
與騰訊，並以Avast作為預設值。

Makkaveev指出，由於Avast的更新機制採用不安全的HTTP傳輸，使得
駭客得以偵測更新時間及猜測該APK檔案的名稱，進而阻擋手機與
Avast伺服器之間的連結，在促使用戶將防毒工具切換至AVL之後，
AVL除了同樣也採用不安全的HTTP傳輸之外，其解壓縮程序更含有路
徑跨越（Path Traversal）漏洞，允許駭客竄改Guard Provider程式
沙箱中的任何檔案，包括其它SDK的檔案。

於是，駭客只要再阻攔AVL與伺服器的連線，讓使用者再切換回Avast
，此時Avast的SDK就能載入及執行駭客所植入的惡意程式。

Check Point認為此一案例彰顯了「SDK疲勞」的問題，軟體開發套件
（SDK）原本是要簡化開發人員打造程式的流程，但在同一程式中使
用多種不同的SDK固然能強化程式功能，卻也會衍生更多問題，涵蓋
當機、惡意程式、隱私外洩、讓裝置變成吃電怪獸或效能變差等。

根據統計，現在每個行動程式平均使用了18個SDK，但只要其中一個
SDK出現問題，就會危及其它所有SDK的安全性，此外，單一SDK的私
有儲存資料並無法被隔離，也因此能被其它SDK存取。

IDC的調查顯示，小米現為全球第四大手機製造商，去年第四季的佔
有率為7.1%，僅次於三星、蘋果及華為。意謂著全球有為數眾多的小
米手機都曝露在Guard Provider的安全風險中，小米在收到Check
Point的通知之後很快就修補了該漏洞。

https://www.ithome.com.tw/news/129805

心得：
全文的重點在最後一段，還好小米已經修復了這個漏洞，不然使用者可是人心惶惶了
當然這件事情其實是不怎麼應該出現的，尤其全世界有這麼多小米手機的用戶

--
◆投票名稱: 八卦板板主選舉
選 項 總票數 得票率 得票分布
olmtw 2017/07/01-2018/02/28 19 票 1.52% 0.87%
olmtw 2018/06/23結果揭曉 43 票 4.06% 2.69%
超越0.87%，感恩有您

--