Board logo

標題: 小米手機內建App爆漏洞!密碼、個資恐被竊 [打印本頁]

作者: Quest    時間: 2019-4-12 09:30     標題: 小米手機內建App爆漏洞!密碼、個資恐被竊


〔財經頻道/綜合報導〕科技媒體《ZDNet》報導,中國手機品牌小米在手機上內建的安全應用程式「Guard Provider」存在漏洞,攻擊者可以植入任何惡意程式碼,例如密碼竊取程式、勒索軟體、追蹤程式或任何其他類型的惡意軟體。

有關Check Point提出Guard Provider存在漏洞疑慮,小米回應說,已知悉該個案並與合作夥伴Avast提出解決方案已修復相關漏洞。

「Guard Provider」原本是內建在小米手機上,用來保護手機免受惡意程式攻擊的安全程式;以色列網路安全公司Check Point發現小米手機內件的這款App存在安全漏洞,並發佈相關詳細報告,小米現已即時修補這項漏洞。

報導指出,小米手機的安全漏洞主要發生在「Guard Provider」的設計,該App採用許多第3方的軟體開發套件(SDK),包括3款不同的防毒軟體品牌,Avast、AVL與騰訊,使用戶可以自由選擇想要的防毒功能。

Check Point指出,其中2個SDK Avast、AVL之間的互動,暴露了在小米手機上執行程式碼的方法,這個漏洞雖然影響有限,但因為沒有加密,因此任何想注入惡意的程式碼的攻擊者,可以有效地控制受害者的手機,進行中間人(MiTM)攻擊。

資安研究員Slava Makkaveev指出,上述漏洞說明了在同1個App中使用多個SDK的危險性,1個SDK中的錯誤都是獨立的問題,但當1個App裡使用多個SDK可能發生更嚴重的問題;2018年對Android系統手機App研究顯示,平均每個App會使用超過18個SDK。

小米手機上內建的安全應用程式「Guard Provider」。(截自《ZDNet》)






歡迎光臨 溫哥華老友記討論區 (http://www.loyaukee.com/forum/) Powered by Discuz! 7.2