您当前所在的位置:365理财网 > 理财APP >
热门新闻
降!油价11月16日24时开启,有望2018-11-24
今日国内油价格喜迎“三连跌” 92018-12-02
南绕城高速公路年底前有望建成通2018-11-21
原油11月跌20%创下13个月新低 上2018-11-27
推动软件名城创建 青岛重点培育32018-11-02
武汉二手房市场加速调整 前十个2018-12-04
湖南等14个省( 区 )47 种进口抗2018-11-23
系统重要性金融机构参评范围明确2018-11-28
iOS12正式版带来大量App更新:支2018-11-02
深圳正告别炒房时代 10月一手住2018-11-24
油价又要降 幅度较大每升或下降2018-11-28
平安银行APP下架“房租贷”2018-11-02
京东11.11国货品牌受用户青睐,2018-11-24
国际油价29日小幅下滑2018-12-01
滴滴出行拼车专利侵权案细节:请2018-11-05

网路安全厂商踢爆 小米手机内建App暗藏漏洞

发表于:2019-04-14 23:12:48

全球网路安全解决方案厂商Check Point Software Technologies Ltd.的研究人员近日在小米手机内建的App「Guard Provider」(安全中心App)中发现了一个漏洞;小米Guard Provider本意是透过检测恶意软体来保护手机,实际上却让使用者暴露在了威胁之中。根据Gartner统计,2018年小米市占率近8%,在全球手机市场排名第四。

Check Point指出,「小米Guard Provider是内建在所有主流小米手机中的App,其安全服务使用了多个协力厂商软体开发套件(SDK),包括各种类型的装置保护、清理、效能加速。该App内建了Avast、AVL和腾讯三个不同品牌的防毒软体来保护手机,使用者可以选择其中一个品牌的产品作为扫描装置的预设防毒软体。」

小米手机内建的安全中心(Guard Provider)App。(图/Check Point提供)

由于进出Guard Provider的网路流量不安全,且同一个App中使用了多个SDK,攻击者可以连接到与受害者相同的Wi-Fi网路,并执行中间人(Man-in-the-Middle,MiTM)攻击;而多个SDK之间的通讯隔阂,也让攻击者可以趁机自行植入任何恶意程式码,例如密码窃取程式、勒索软体、追踪程式或任何其他类型的恶意软体。

类似Guard Provider这类型内建于行动装置的App都是无法删除的,但在Check Point向小米告知这个漏洞后,小米也即时的修补了该漏洞。

SDK的优缺点

就行动装置而言,SDK可以协助开发人员不需要再花费时间撰写程式,并为与App核心无关的功能提供后端稳定性。随着各式SDK的出现,多元的新功能让App开发人员得以提供终端使用者更优异的特性,但随着越来越多的协力厂商程式码添加到App中,对于稳定工作、使用者资料的保护及效能控制的环境变得益发复杂。

在同一个App中使用多个SDK造成了「SDK 疲劳(SDK Fatigue)」现象,导致App更容易出现当机、病毒和恶意软体感染、隐私外泄、极度耗电、速度变慢及许多其他问题。统计 指出,在单一App中使用多个SDK非常常见,平均每个App会使用超过18个SDK,但这种做法让企业组织和使用者暴露在潜在风险中,攻击者可以利用这些漏洞来干扰装置的日常运行。

如何抵御与预防SDK攻击

对于安装到员工装置上的App,企业组织的IT安全人员虽然不必了解构建这些应用时所用 SDK 的精确细节,但应该意识到这种App的建构方式可能存在安全隐忧。人们常常认为安全App中使用的要素都是安全的,但上述小米内建App漏洞显示事实并非如此。开发人员和企业都需要意识到,在一个手机App中内建两种安全软体并不一定会取得双重保险的效果。

抵御这种隐藏威胁的唯一措施是确保企业组织内的行动装置免受潜在的中间人攻击,而Check Point SandBlast Mobile可以检测并防止此类攻击,消除因在同一App中使用多个SDK 而造成的潜在威胁。