小米手机内建App暗藏安全漏洞

Check Point Software Technologies Ltd.研究人员日前在小米手机内建的App「Guard Provider」中发现了一个漏洞；小米Guard Provider本意是透过检测恶意软件来保护手机，实际上却让使用者暴露在了威胁之中。根据Gartner统计，2018年小米市占率近8%，在全球手机市场排名第四。

小米Guard Provider是内建在所有主流小米手机中的App，其安全服务使用了多个协力厂商软件开发套件，包括各种类型的装置保护、清理、效能加速。该App内建了Avast、AVL及腾讯三个不同品牌的防毒软件来保护手机，使用者可以选择其中一个品牌的产品作为扫描装置的缺省防毒软件。

由于进出Guard Provider的网络流量不安全，且同一个App中使用了多个SDK，攻击者可以连接到与受害者相同的Wi-Fi网络，并执行中间人攻击；而多个SDK之间的通讯隔阂，也让攻击者可以趁机自行植入任何恶意程序码，例如口令窃取程序、勒索软件、追踪程序或任何其他类型的恶意软件。

类似Guard Provider这类型内建于移动设备的App都是无法删除的，但在Check Point向小米告知这个漏洞后，小米也实时的修补了该漏洞。

就移动设备而言，SDK可以协助开发人员不需要再花费时间撰写程序，并为与App核心无关的功能提供后端稳定性。随着各式SDK的出现，多元的新功能让App开发人员得以提供终端使用者更优异的特性，但随着越来越多的协力厂商程序码添加到App中，对于稳定工作、使用者数据的保护及效能控制的环境变得益发复杂。

在同一个App中使用多个SDK造成了「SDK疲劳」现象，导致App更容易出现当机、病毒和恶意软件感染、隐私外泄、极度耗电、速度变慢及许多其他问题。统计 指出，在单一App中使用多个SDK非常常见，平均每个App会使用超过18个SDK，但这种做法让企业组织和使用者暴露在潜在风险中，攻击者可以利用这些漏洞来干扰装置的日常运行。

对于安装到员工装置上的App，企业组织的IT安全人员虽然不必了解构建这些应用时所用SDK的精确细节，但应该意识到这种App的建构方式可能存在安全隐忧。人们常常认为安全App中使用的要素都是安全的，但上述小米内建App漏洞显示事实并非如此。开发人员和企业都需要意识到，在一个手机App中内建两种安全软件并不一定会取得双重保险的效果。

抵御这种隐藏威胁的唯一措施是确保企业组织内的移动设备免受潜在的中间人攻击，而Check Point SandBlast Mobile可以检测并防止此类攻击，消除因在同一App中使用多个SDK而造成的潜在威胁。