IT業界資訊媒體

【防毒變吸毒】小米 手機預載軟件慘變保安缺口

小米 手機近年嘅聲勢雖然已大不如前,不過憑住高性價比策略,依然仲有一大班「米粉」追逐。如果你都有用緊 小米 或紅米手機就要留意喇,因為早前 小米 被發現預載嘅防毒軟件套裝 Guard Provider 存有漏洞,只要用家登入公眾 Wi-Fi 熱點,就有可能被黑客植入惡意程式兼盜取手機內嘅個人私隱㗎喇!

共用 APK 出事

Android 作業系統功能劃一,手機生產商為咗建立自己嘅用戶群,自然要喺用戶體驗上花心思,例如好似 Samsung 咁搶先出新功能手機、華為靠影相功能取勝等等,如果無法喺功能上取勝,就會轉移喺操作介面上加入自家預載功能,提升用戶體驗。國內手機品牌 小米 ( Xiaomi)就一直靠高性價比策略吸客,其中 小米 亦有為用家加入一啲強化功能,例如預載嘅 Guard Provider 就集合三種防毒軟件俾用家自己選擇使用,包括 Avast、AVL 及 騰訊。本來 小米 係出於好意,但有網絡保安專家就發現呢種集合多個開發者 APK 嘅做法並唔可取,因為混合 APK 通常會共享應用程式嘅內容及權限,無法單獨處理,所以只要其中一個 APK 有事,就會出現火燒連環船。

今次嘅保安漏洞,就正正係出現喺 Avast 及 AVL 嘅 apk 之上,網絡保安企業 Checkpoint 發現,由於 Avast 同埋 AVL 嘅 APK 喺更新病毒資料庫時係通過唔安全嘅 HTTP 制式,所以只要用家喺更新資料庫時連接緊公眾 Wi-Fi 熱點,就可以俾黑客攔截更新要求,並透過中間人(Man in the Middle)攻擊先後將兩個防毒軟件嘅更新要求偷換成惡意程式俾用家下載,從而突破佢哋共有 sandbox 嘅。經 Checkpoint 通知後, 小米 已經透過更新檔去堵塞漏洞,小米 手機用家要立即更新系統檔喇。

資料來源:https://bit.ly/2TWmC4C
相關文章:【火燒後欄】快Check!小米、華為有7款App擅自幫你開後門