资安业者Check Point最近发现,小米手机中所预装、理应用来保护手机免受恶意软件攻击的安全程序Guard Provider竟然含有安全漏洞,允许与手机用户位于同一Wi-Fi网络的黑客执行中间人(Man-in-the-Middle,MiTM)攻击,追究其原因则是源自于「SDK疲劳」(SDK Fatigue)。Check Point的安全研究人员Slava Makkaveev解释,所有主流的小米手机都预装了Guard Provider,而Guard Provider则采用许多第三方的软件开发工具包(SDK),包括3款不同的防病毒软件品牌:Avast、AVL与腾讯,并以Avast作为默认值。
Makkaveev指出,由于Avast的更新机制采用不安全的HTTP传输,使得黑客得以侦测更新时间及猜测该APK档案的名称,进而阻挡手机与Avast服务器之间的链接,在促使用户将防毒工具切换至AVL之后,AVL除了同样也采用不安全的HTTP传输之外,其解压缩程序更含有路径跨越(Path Traversal)漏洞,允许黑客窜改Guard Provider程序沙盒中的任何档案,包括其它SDK的档案。于是,黑客只要再阻拦AVL与服务器的联机,让使用者再切换回Avast,此时Avast的SDK就能加载及执行黑客所植入的恶意软件。Check Point认为此一案例彰显了「SDK疲劳」的问题,