Эксперты компании Check Point обнаружили, что защитное приложение Guard Provider, предустановленное на устройствах Xiaomi, содержало опасную уязвимость и могло использоваться для MITM-атак на пользователей.

Guard Provider (com.miui.guardprovider) — предустановленное приложение в смартфонах Xiaomi, которое использует несколько сторонних SDK для защиты, очистки и улучшения производительности устройств. Приложение объединяет в себе антивирусные решения сразу трех известных производителей — Avast, AVL и Tencent, — пользователь может выбирать, как хочет защитить свое устройство, и какой из этих продуктов будет антивирусом по умолчанию.

Исследователи объясняют, что взаимодействие между двумя из этих SDK (Avast SDK и AVL SDK) порождает проблемы, которые могут привести к исполнению произвольного кода на устройстве.  Разумеется, использование нескольких SDK в одном приложении удобно для разработчиков, но у этой медали есть и обратная сторона. Например, проблема в одном SDK поставит под угрозу защиту всех остальных, а данные частного хранилища одного SDK не могут быть изолированы и, следовательно, могут быть доступны другому SDK.

Согласно опубликованному недавно отчету, использование нескольких SDK в одном приложении встречается очень часто. В среднем одном приложении могут быть реализованы 18 SDK.

Как уже было сказано выше, из-за уязвимости в Guard Provider возможной становится RCE-атака. Дело в том, что трафик Guard Provider незашифрован, в том числе и во время процесса обновлений, а значит, злоумышленник может применить атаку «человек посередине» (Man-in-the-Middle, MITM) и выдать свой вредоносный код  за обновление стороннего SDK (а именно Avast).

Фактически, после этого атакующему останется лишь провести атаку на обход каталога (перед ней уязвим AVL SDK) и получить возможность внедрить любую малварь на уязвимое устройство — это может быть как банковский троян, позволяющий украсть деньги пользователя, так и шпионская программа, позволяющая перехватывать учетные данные и другую информацию о пользователе.

«Пользователи привыкли, что смартфоны продаются с набором предустановленных программ, часть из которых ими никогда не используется. Однако пользователь не ожидает, что смартфон изначально может таить угрозы. Скорее наоборот, пользователи будут доверять предустановленным приложениям, особенно когда они должны защищать пользователя, как в случае Guard Provider», — комментирует Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.

Подобно всем предустановленным приложениям, таким как Guard Provider, эти виды приложений присутствуют на всех мобильных устройствах «из коробки» и не могут быть удалены. Специалисты Check Point сразу же сообщили о найденной уязвимости инженерам Xiaomi, после чего компания оперативно выпустила патч.

Оставить мнение