-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Xiaomi: domyślnie instalowana na telefonach appka: 'Guard Provider’ – podatna na zdalne wykonanie kodu

04 kwietnia 2019, 21:57 | W biegu | 1 komentarz

Aplikacja ma w domyśle chronić system i zawiera aż trzy silniki antywirusowe: Avast, AVL, Tencent. Problemem jest to, że przynajmniej dwa pierwsze silniki wykonują aktualizację korzystając z nieszyfrowanego HTTP.

Guard

Jeśli teraz atakujący zaczai się np. w otwartej sieci WiFi, może spróbować podrzucić 'lewą’ aktualizację (odpowiednio przechwytując ruch i wysyłając swoją odpowiedź na żądanie HTTP wygenerowane na potrzeby aktualizacji).

Czy oba silniki sprawdzają autentyczność pobranych aktualizacji? Też nie koniecznie, a w szczególności atakujący ma możliwość podrzucenia swojego archiwum zip, z dodatkową ciekawostką – czyli plikiem ze ścieżką tego typu: ../../app_dex/vps_update_20190205-124933.apk

W skrócie z pewnym (nieświadomym) wsparciem ofiary, atakujący może nadpisać pewien plik, który następnie jest wykonywany przez Avasta (bez weryfikacji jego autentyczności).

Xiaomi wydało aktualizację aplikacji, Guard Provider – choć nie wiemy czy jest ona instalowana domyślnie…

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ZRTSIM

    Wiadomo jaka ostatnia wersja aplikacji jest podatna?

    Odpowiedz

Odpowiedz