Спецпроекты

Безопасность Техническая защита

Обнаружена уязвимость в предустановленном ПО Xiaomi

Исследователи Check Point Research, подразделение Check Point Software Technologies Ltd., обнаружили уязвимость в предустановленном приложении Xiaomi, одного из крупнейших в мире поставщиков мобильных устройств. По иронии судьбы, уязвимость затронула приложение безопасности Guard Provider, которое должно защищать пользователя от вредоносных программ.

Из-за незащищенного сетевого соединения, используемого приложением Guard Provider для связи с сервером управления, злоумышленник может подключиться к той же сети Wi-Fi, что и жертва, и провести атаку MiTM («человек посередине») и получить все передаваемые данные приложением. Затем, как часть стороннего обновления SDK (Software Development Kit), он может отключить защиту от вредоносных программ и внедрить любой мошеннический код: для кражи данных, внедрения программ-вымогателей или слежения или установки любых других видов вредоносных программ.

Подобно всем предустановленным приложениям, таким как Guard Provider, эти виды приложений присутствуют на всех мобильных устройствах «из коробки» и не могут быть удалены. Специалисты Check Point сразу же сообщили о найденной уязвимости Xiaomi, после чего компания оперативно выпустила патч.

Guard Provider — это предустановленное приложение в смартфонах Xiaomi, которое использует несколько сторонних пакетов для разработки программного обеспечения (SDK, Software Development Kit) как часть предлагаемых им сервисов безопасности, включая антивирусы, очистки и повышения производительности устройств.

Мобильные SDK помогают разработчикам создавать приложения для конкретной платформы, не тратя силы на написание кода. Но по мере того, как все больше стороннего кода добавляется в приложение, поддерживать стабильность, защищать пользовательские данные и управлять производительностью становится намного сложнее.

Скрытые недостатки использования нескольких SDK в одном приложении заключаются в том, что: проблема в одном SDK поставит под угрозу защиту всех остальных, данные частного хранилища одного SDK не могут быть изолированы и, следовательно, могут быть доступны другому SDK.

Согласно недавнему отчету, использование нескольких SDK в одном приложении встречается очень часто. В среднем одно приложение теперь имеет более 18 SDK, реализованных в одном приложении. Тем самым разработчики могут подвергать пользователей потенциальным угрозам, которые могут использовать злоумышленники, чтобы помешать нормальной работе устройства.

В случае с обнаруженной уязвимостью Guard Provider возможна атака удаленного выполнения кода (RCE) при интеграции двух SDK с проблемным поведением. Злоумышленник может применить атаку «человек посередине», чтобы внедрить инородный код как часть стороннего обновления SDK. Далее злоумышленник внедряет вредоносное ПО — это может быть как банковский троян, позволяющий украсть деньги пользователя, так и шпионская программа, чтобы перехватить учетные данные и другую информацию о пользователе.

«Пользователи привыкли, что смартфоны продаются с набором предустановленных программ, часть из которых ими никогда не используется. Однако пользователь не ожидает, что смартфон изначально может таить угрозы. Скорее наоборот, пользователи будут доверять предустановленным приложениям, особенно когда они должны защищать пользователя, как в случае Guard Provider. Поэтому дополнительная защита от надежного поставщика решений кибербезопасности никогда не бывает лишней», — отметил Никита Дуров, технический директор Check Point Software Technologies в России и СНГ.

Короткая ссылка