Předinstalovaná aplikace od Xiaomi nechává otevřená vrátka hackerům
5.4.2019, Jáchym Šlik, aktualita
Výzkumný tým Check Point Research objevil bezpečnostní problém u jedné z aplikací, kterou do svých smartphonů předinstalovává Xiaomi. Tato aplikace by měla uživatele chránit před malwarem, ale ve skutečnosti může představovat ohrožení.
XIaomi ve svých telefonech využívá dost vlastních aplikací, některé jsou dokonce uživateli preferovány před alternativami od Googlu. Jeden z předinstalovaných titulů ovšem může představovat potenciální riziko. Jedná se o aplikaci Guard Provider (com.miui.guardprovider), která (kromě jiného) slibuje ochranu před malwarem. Právě jejím prostřednictvím by ovšem útočníci mohli napadnout smartphone. Ke své funkci totiž využívá SDK od tří různých poskytovatelů (Avast, AVL a Tencent), mezi kterými si uživatel může vybírat. Zní to jako pozitivní krok, ale ve skutečnosti právě použití více SDK může způsobit nestabilitu aplikace, ohrožení soukromí, vysoké nároky na baterii nebo, jako v tomto případě, zvýšené riziko kyberútoku:
„Stručně řečeno, vzhledem k povaze nezabezpečeného síťového provozu do a z aplikace Guard Provider a využití různých SDK (Software Developer Kit) jednou aplikací by se útočník mohl připojit ke stejné Wi-Fi síti jako oběť a provést útok typu Man-in-the-Middle. Kvůli mezerám v komunikaci mezi různými SDK může útočník vložit jakýkoli škodlivý kód, prostřednictvím kterého lze krást data, infikovat zařízení ransomwarem nebo instalovat jakýkoli jiný malware,“ uvádí ve své zprávě výzkumný tým Check Point Research, který na tuto zranitelnost přišel jako první.
Aplikaci Guard Provider najdete v MIUI pod označením Security
Při defaultním nastavení Avastu jako poskytovatele skeneru by útočník mohl zneužít toho, že aplikace využívá ke stažení souborů s novými databázemi virů nezabezpečené připojení HTTP. A protože kontrola aktualizací probíhá pravidelně, stačilo by odhadnout čas příští kontroly a název stahovaného souboru. Využití útoku typu Man-in-the-Middle by umožnilo zablokovat další připojení k serverům Avastu, takže uživatel by nejspíš po vyskočení chyby přepnul na některé z dalších poskytovatelů – AVL nebo Tencent. V případě SDK od AVL, které je rovněž součástí aplikace Guard Provider, může hacker změnit obsah konfiguračního souboru s novými definicemi virů. I v tomto případě totiž stahování probíhá přes nezabezpečené připojení.
SKD od AVL ovšem obsahuje ještě jednu chybu, která útočníkovi umožňuje přepsat rovněž soubor z SDK od Avastu. Potom postačí, aby útočník blokoval komunikaci se servery AVL, dokud uživatel nepřepne zpět na Avast. Následně dojde k načtení škodlivého souboru APK a jeho instalaci skrze Avast SDK. Škodlivá aplikace se tedy do telefonu vplíží přes software, který by měl uživatele naopak chránit. Ještě podrobnější popis potenciálního útoku najdete na oficiálních stránkách. V posledních týdnech se jedná o další zjištění, že antiviry pro Android mohou být zbytečné a někdy dokonce nebezpečné. Potvrdilo to nedávné srovnání 250 bezpečnostních aplikací z Google Play Store.
Zdroj: Tisková zpráva
