×
xiaomi telefon.png
Xiaomi har lappet et sikkerhedshul i Vagt Tjenesteudbyder, standard sikkerheds-app, der følger med alle de seneste Xiaomi smartphones.
Den sårbarhed, som ville have tilladt fjernangribere at indsprøjte trafik på vej mod Guard Udbyder app, og indsætte ondsindede kommandoer, der ville have tilladt en trussel skuespiller til at køre skadelig kode til at tage over telefonen, installere malware eller stjæle brugere’ data.
Sikkerhed fejl blev opdaget af sikkerhedseksperter fra det Israelske it-sikkerhedsfirma Check Point, der vil frigive en detaljeret rapport om sagen senere i dag.
Fejl forårsaget af interaktioner mellem to Sdk’
Svagheden ved hjertet af dette problem kommer fra app ‘ s design. Xiaomi Vagt Udbyder app ‘ en indeholder tre forskellige antivirus-mærker, der er indbygget i det, at brugerne kan vælge og holde som deres standard antivirus. De tre er Avast, AVL, og Tencent.
Billede: Check Point
×
xiaomi-guard-provider.jpg
App ‘en, og disse tre antivirus-produkter, som kommer med forskellige koder biblioteker (sdk’ er – software development kits (sdk), som de bruger til magten forskellige funktioner.
Check Point sagde, at samspillet mellem to af disse sdk ‘ er –Avast SDK og AVL SDK– udsat for en måde at eksekvere kode på Xiaomi enheder.
Denne fejl ville have haft en begrænset effekt, men fordi den trafik, der kommer og går fra Xiaomi Vagt Udbyder var ukrypteret, enhver angriber i en position af at injicere offer ‘ s web trafik kunne faktisk have taget over offerets telefon.
Dette inkluderer, at Man-in-the-Middle-angreb scenarier, såsom malware, der er fundet på en router, rogue Internetudbydere, enhver “onde access point” – scenariet, og andre.
For mange kokke
“Ovennævnte angreb scenario illustrerer også farer ved at bruge flere sdk’ er i én app,” sagde Check Point security forsker Slava Makkaveev. “Mens mindre fejl i den enkelte SDK kan ofte være et enkeltstående problem, når flere Sdk’ er gennemført inden for den samme app, det er sandsynligt, at endnu flere kritiske sårbarheder vil ikke være langt væk.”
Makkaveev kommentarer skal anledning til bekymring for de fleste smartphone-brugere i dag. Et 2018 undersøgelse af Android-app-økosystemet fundet det gennemsnitlige antal af mobile sdk ‘ er, der er indlejret i en app er omkring 18.
Med sådan et stort antal af forskellige sdk ‘ er, der interagerer med hinanden inde i en app, codebase, app-producenter kan aldrig vide, hvordan disse biblioteker vil kombinere til at gyde super-bugs udviklere har aldrig forventet.
Check Point ‘ s konstatering bekræfter også, at en akademisk papir, der blev offentliggjort i sidste måned, at fundet Android økosystem af præ-installerede apps, til at være en komplet privatliv og sikkerhed rod, med mange præ-installerede apps, der indeholder sikkerhedshuller, malware, og høste store mængder af brugerens data uden at give brugere en måde at fravælge eller deaktivere disse ulovlige apps.
Mere sårbarhed rapporter:
Forsker udskriver ‘PWNED!’ på hundredvis af GPS-ures kort på grund af ukorrigerede APICisco forkludret RV320/RV325 patches, routere stadig er udsat for hacks
Forskere opdage og misbrug nye udokumenterede feature i Intel chipsetsWordPress iOS app lækket godkendelse tokensApache web-serveren fejl tilskud root-adgang på delt hosting environmentsResearcher offentliggør Google Chrome udnytte på GitHubDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre