×
xiaomi telefoon.png
Xiaomi heeft een patch voor een lek in de Guard Provider, de standaard security-app meegeleverd met alle recente Xiaomi smartphones.
De kwetsbaarheid zou hebben toegestaan aanvallers het verkeer in de richting van de Guard Provider app, en plaats kwaadaardige commando ‘ s dat zou hebben toegestaan dat een bedreiging acteur uitvoeren van schadelijke code op te nemen via de telefoon, malware installeren, of het stelen van gegevens van gebruikers.
De security bug werd ontdekt door de onderzoekers van de veiligheid van de Israëlische cyber-beveiligingsbedrijf Check Point, die zal vrijkomen van een gedetailleerd rapport over de kwestie later op de dag.
Fout veroorzaakt door de interactie tussen twee Sdk ‘ s
De kwetsbaarheid in het hart van dit probleem is de app te ontwerpen. De Xiaomi Guard Provider app bevat drie verschillende antivirusprogramma merken ingebouwd die gebruikers kunnen selecteren en te houden als hun standaard antivirus. De drie zijn Avast, AVL, en Tencent.
Afbeelding: Check Point
×
xiaomi-guard-provider.jpg
De app en deze drie antivirus producten zijn voorzien van verschillende codering bibliotheken (Sdk ‘ s) – software development kits) die ze gebruiken om het vermogen van verschillende functies.
Check Point zei dat de interactie tussen twee van deze Sdk ‘ s –de Avast SDK en het AVL SDK– blootgesteld een manier om code uit te voeren op Xiaomi apparaten.
Deze fout zou hebben een beperkt effect gehad, maar omdat het verkeer komen en gaan van de Xiaomi Guard Provider was niet versleuteld, elke aanvaller in een positie van het injecteren van het slachtoffer web verkeer kan effectief zijn overgenomen van het slachtoffer telefoon.
Dit omvat de-Man-in-het-Midden-aanval scenario ‘s, zoals malware gevonden op een router, rogue Isp’ s, alle “kwaad access point” – scenario, en anderen.
Te veel koks
“De bovengenoemde aanval illustreert de gevaren van het gebruik van meerdere Sdk’ s in één app,” zei Check Point security-onderzoeker Slava Makkaveev. “Terwijl kleine bugs in elke individuele SDK kan vaak een standalone probleem, wanneer meerdere Sdk’ s zijn geïmplementeerd binnen dezelfde app is het waarschijnlijk dat er nog meer zijn kritieke kwetsbaarheden zal niet ver weg zijn.”
Makkaveev opmerkingen moet aanleiding geven tot bezorgdheid voor de meeste smartphone-gebruikers vandaag de dag. Een 2018 studie van de Android-app-ecosysteem gevonden in het gemiddeld aantal mobiele Sdk ‘ s die zijn ingebed in een app is rond de 18.
Met een dergelijk groot aantal verschillende Sdk ‘ s van het omgaan met elkaar in een app de codebase, app-makers kunnen nooit weten hoe deze bibliotheken combineren om te paaien super-bugs-ontwikkelaars kunnen hebben nooit verwacht.
Check Point ‘ s vinden bevestigt ook een academic paper gepubliceerd in de laatste maand dat het Android-ecosysteem van de vooraf geïnstalleerde apps om een complete privacy en veiligheid puinhoop, met een aantal voorgeïnstalleerde apps die beveiligingsfouten, malware, en het oogsten van grote hoeveelheden gegevens van de gebruiker zonder dat gebruikers een manier om opt-out of uitschakelen van deze gewraakte apps.
Meer kwetsbaarheid rapporten:
Onderzoeker prints ‘PWNED!’ op honderden GPS-horloges kaarten te wijten aan de niet vastgelegde APICisco mislukte RV320/RV325 patches, routers nog steeds blootgesteld aan hacks
Onderzoekers ontdekken en misbruik van de nieuwe undocumented feature in Intel chipsetsWordPress iOS-app gelekt verificatie tokensApache web server bug subsidies root-toegang op shared hosting environmentsResearcher publiceert Google Chrome exploit op GitHubDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters