Уязвимость в антивирусе Xiaomi подвергает риску более 150 млн пользователей

Проблема связана с дизайном защитного приложения Guard Provider.

Специалисты компании CheckPoint предупредили об уязвимости в защитном приложении Guard Provider, предустановленном на более чем 150 млн мобильных устройств производства китайской компании Xiaomi, с помощью которой злоумышленники могли бы удаленно скомпрометировать смартфоны.

Приложение Guard Provider сочетает в себе три антивируса от различных производителей — Avast, AVL и Tencent, позволяя пользователям выбирать между ними. Однако на практике реализация трех различных SDK в одной программе оказалась не лучшим решением, поскольку они не изолированы друг от друга и используют одни и те же разрешения. В результате уязвимость в одном из них может сказаться на работе других антивирусов, отметили исследователи.

Проблема заключается в том, что Guard Provider загружал обновления сигнатур антивирусов по небезопасному соединению HTTP, открывая возможность проведения атак «человек посередине». Таким образом злоумышленник, находящийся в открытой сети Wi-Fi, мог перехватить подключение и отправить вредоносные обновления.

«Подключившись к той же Wi-Fi сети, в которой находится жертва, скажем, в общественных местах, например, ресторанах, кафе или торговых центрах, атакующий мог бы получить доступ к фотографиям, видео и другим важным данным владельца смартфона или установить вредоносное ПО», — пояснили эксперты.

Специалистам удалось взломать тестовый смартфон Xiaomi путем эксплуатации ряда различных уязвимостей (использование HTTP, уязвимость обхода каталога и отсутствие цифровой подписи) в двух SDK, включенных в Guard Provider, и установить вредоносное обновление антивируса на устройстве.

Сотрудники Check Point проинформировали Xiaomi о проблеме, производитель уже устранил уязвимости с выпуском новой версии Guard Provider.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.