Vulnerabilidade encontrada no aplicativo de segurança pré-instalado dos telefones Xiaomi

A Xiaomi corrigiu uma falha de segurança no Guard Provider, o aplicativo de segurança padrão incluído em todos os smartphones Xiaomi recentes.

A vulnerabilidade teria permitido que invasores injetassem tráfego em direção ao aplicativo Guard Provider e inserissem comandos mal-intencionados que permitiriam que um agente de ameaça executasse códigos maliciosos para assumir o controle do telefone, instalar malware ou roubar dados dos usuários.

O bug de segurança foi descoberto por pesquisadores de segurança da empresa de segurança cibernética israelense Check Point, que divulgará um relatório detalhado sobre o assunto ainda hoje.

BUG CAUSADO POR INTERAÇÕES ENTRE DOIS SDKS

A vulnerabilidade no coração deste problema vem do design do aplicativo. O aplicativo Xiaomi Guard Provider inclui três marcas diferentes de antivírus integradas que os usuários podem selecionar e manter como seu antivírus padrão. Os três são Avast, AVL e Tencent.

Aplicativo Xiaomi Guard Provider

O aplicativo e esses três produtos antivírus vêm com diferentes bibliotecas de codificação (SDKs – kits de desenvolvimento de software) que eles usam para ativar várias funções.

A Check Point disse que as interações entre dois desses SDKs – o Avast SDK e o AVL SDK – expunham uma maneira de executar código em dispositivos Xiaomi.

Essa falha teria tido um impacto limitado, mas como o tráfego vindo do Xiaomi Guard Provider não foi criptografado, qualquer invasor em posição de injetar o tráfego da Web da vítima poderia efetivamente ter assumido o telefone da vítima.

Isso inclui cenários de ataque do tipo Man-in-the-Middle, como malware encontrado em um roteador, ISPs invasores, qualquer cenário de “ponto de acesso maléfico” entre outros.

“O cenário de ataque acima também ilustra os perigos de usar vários SDKs em um aplicativo”, disse o pesquisador de segurança da Check Point, Slava Makkaveev. “Embora pequenos bugs em cada SDK individual possam ser frequentemente um problema autônomo, quando vários SDKs são implementados no mesmo aplicativo, é provável que vulnerabilidades ainda mais críticas não estejam muito distantes.”

Os comentários de Makkaveev devem levantar preocupações para a maioria dos usuários de smartphones hoje. Um estudo de 2018 sobre o ecossistema de aplicativos para Android descobriu que o número médio de SDKs para dispositivos móveis incorporados em um aplicativo é de cerca de 18.

Com um número tão alto de diferentes SDKs interagindo entre si dentro da base de código de um aplicativo, os criadores de aplicativos talvez nunca saibam como essas bibliotecas se combinam para gerar super-bugs que os desenvolvedores podem nunca ter esperado.

A descoberta da Check Point também confirma um trabalho acadêmico publicado no mês passado que descobriu que o ecossistema Android de aplicativos pré-instalados é uma completa bagunça de privacidade e segurança , com muitos aplicativos pré-instalados contendo falhas de segurança, malware e coleta de grandes quantidades de dados de usuário. dando aos usuários uma maneira de desativar ou desativar esses aplicativos ofensivos.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.