粉絲團
科技媒體《ZDNet》報導,中國手機品牌小米在手機上預裝的安全應用程式「Guard Provider」存在漏洞。(美聯社檔案照)
〔財經頻道/綜合報導〕科技媒體《ZDNet》報導,中國手機品牌小米在手機上內建的安全應用程式「Guard Provider」存在漏洞,攻擊者可以植入任何惡意程式碼,例如密碼竊取程式、勒索軟體、追蹤程式或任何其他類型的惡意軟體。
有關Check Point提出Guard Provider存在漏洞疑慮,小米回應說,已知悉該個案並與合作夥伴Avast提出解決方案已修復相關漏洞。
「Guard Provider」原本是內建在小米手機上,用來保護手機免受惡意程式攻擊的安全程式;以色列網路安全公司Check Point發現小米手機內件的這款App存在安全漏洞,並發佈相關詳細報告,小米現已即時修補這項漏洞。
報導指出,小米手機的安全漏洞主要發生在「Guard Provider」的設計,該App採用許多第3方的軟體開發套件(SDK),包括3款不同的防毒軟體品牌,Avast、AVL與騰訊,使用戶可以自由選擇想要的防毒功能。
Check Point指出,其中2個SDK Avast、AVL之間的互動,暴露了在小米手機上執行程式碼的方法,這個漏洞雖然影響有限,但因為沒有加密,因此任何想注入惡意的程式碼的攻擊者,可以有效地控制受害者的手機,進行中間人(MiTM)攻擊。
資安研究員Slava Makkaveev指出,上述漏洞說明了在同1個App中使用多個SDK的危險性,1個SDK中的錯誤都是獨立的問題,但當1個App裡使用多個SDK可能發生更嚴重的問題;2018年對Android系統手機App研究顯示,平均每個App會使用超過18個SDK。
小米手機上內建的安全應用程式「Guard Provider」。(截自《ZDNet》)
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
