Xiaomi: domyślnie instalowana na telefonach appka: 'Guard Provider’ – podatna na zdalne wykonanie kodu

Aplikacja ma w domyśle chronić system i zawiera aż trzy silniki antywirusowe: Avast, AVL, Tencent. Problemem jest to, że przynajmniej dwa pierwsze silniki wykonują aktualizację korzystając z nieszyfrowanego HTTP.

Guard

Jeśli teraz atakujący zaczai się np. w otwartej sieci WiFi, może spróbować podrzucić 'lewą’ aktualizację (odpowiednio przechwytując ruch i wysyłając swoją odpowiedź na żądanie HTTP wygenerowane na potrzeby aktualizacji).

Czy oba silniki sprawdzają autentyczność pobranych aktualizacji? Też nie koniecznie, a w szczególności atakujący ma możliwość podrzucenia swojego archiwum zip, z dodatkową ciekawostką – czyli plikiem ze ścieżką tego typu: ../../app_dex/vps_update_20190205-124933.apk

W skrócie z pewnym (nieświadomym) wsparciem ofiary, atakujący może nadpisać pewien plik, który następnie jest wykonywany przez Avasta (bez weryfikacji jego autentyczności).

Xiaomi wydało aktualizację aplikacji, Guard Provider – choć nie wiemy czy jest ona instalowana domyślnie…

–ms