小米预装安全应用程序中的漏洞

1021x580_R1.jpg

智能手机通常带有预安装的应用程序,其中一些是有用的,有些根本就没用过。但是,用户并不期望预先安装的应用程序是对其隐私和安全性的实际责任。

Check Point Research最近在世界上最大的移动供应商之一小米(Xiaomi)中发现了一个预装应用程序中的一个漏洞,其中近8%的市场份额在手机市场排名第三具有讽刺意味的是,它是预安装的安全应用程序“Guard Provider”(com.miui.guardprovider),它应该通过检测恶意软件来保护手机,恶意软件实际上会使用户受到攻击。

简而言之,由于进出Guard Provider的网络流量不安全,威胁行为者可以连接到与受害者相同的Wi-Fi网络并执行中间人(MiTM)攻击。然后,作为第三方SDK更新的一部分,他可以禁用恶意软件保护并注入他选择的任何流氓代码来窃取数据,植入勒索软件或跟踪或安装任何其他类型的恶意软件。

Check Point负责任地向小米公开了这个漏洞,后来不久发布了补丁。


KartaTool_blog_1021x580.jpg

图1:小米预装的安全应用程序,称为“警卫提供者”

 

一个中的三个第三方 SDK - 攻击如何工作

小米'Guard Provider'是所有主流小米手机中预装的应用程序,它使用多个第三方软件开发套件(SDK)作为其提供的安全服务的一部分,包括各种类型的设备保护,清除和增强。

该应用程序包括内置的三个不同的防病毒品牌,用户可以选择保护他们的手机:Avast,AVL和腾讯。选择应用程序后,用户选择其中一个提供程序作为默认的防病毒引擎来扫描设备。

在解释潜在的攻击场景之前,重要的是要指出在同一个应用程序中使用多个SDK实际上存在一些隐藏的缺点。因为它们都共享应用程序上下文和权限,所以这些主要缺点是:

  1. 一个SDK中的问题会损害所有其他SDK的保护。
  2. 一个SDK的私有存储数据不能被隔离,因此可以被另一个SDK访问。

 

在小米卫士提供商的案例中,我们将在下面展示如何在整合两个有问题行为的SDK时进行远程执行代码执行(RCE)攻击。

简而言之,由于Guard Provider的任何小米设备的网络流量都是不安全的,因此可以通过中间人(MiTM)攻击拦截它,并将恶意代码作为第三方SDK更新的一部分注入。让我们看看可能的攻击情形。

一个中的三个第三方 SDK - 攻击如何工作

小米'Guard Provider'是所有主流小米手机中预装的应用程序,它使用多个第三方软件开发套件(SDK)作为其提供的安全服务的一部分,包括各种类型的设备保护,清除和增强。

该应用程序包括内置的三个不同的防病毒品牌,用户可以选择保护他们的手机:Avast,AVL和腾讯。选择应用程序后,用户选择其中一个提供程序作为默认的防病毒引擎来扫描设备。

在解释潜在的攻击场景之前,重要的是要指出在同一个应用程序中使用多个SDK实际上存在一些隐藏的缺点。因为它们都共享应用程序上下文和权限,所以这些主要缺点是:

  1. 一个SDK中的问题会损害所有其他SDK的保护。
  2. 一个SDK的私有存储数据不能被隔离,因此可以被另一个SDK访问。

 

在小米卫士提供商的案例中,我们将在下面展示如何在整合两个有问题行为的SDK时进行远程执行代码执行(RCE)攻击。

简而言之,由于Guard Provider的任何小米设备的网络流量都是不安全的,因此可以通过中间人(MiTM)攻击拦截它,并将恶意代码作为第三方SDK更新的一部分注入。让我们看看可能的攻击情形。

 

第1阶段:抓住Avast更新

默认情况下,通过将Avast设置为应用程序的安全扫描程序,该应用程序会定期更新其病毒数据库,方法是将avast-android-vps-v4-release.apk APK文件下载到Guard Provider的私人目录:/data/data/com.miui。 guardprovider / app_dex / vps_update _ <timestamp> .apk。

然后,在扫描设备之前,此AV文件将由Avast SDK加载并执行,并包含下载文件时的时间戳。例如,vps_update_20190205-124933.apk。

图2: Avast更新文件。

 

遗憾的是,由于更新机制使用不安全的HTTP连接来下载此文件,威胁行为者通过MiTM攻击可以检测Avast更新的时间并预测下一个磁盘的APK文件名。攻击者只需截取http://au.ff.avast.sec.miui.com/android/avast-android-vps-v4-release.apk连接的响应部分即可

图3: Avast更新流量

 

牢记这一点,因为Avast更新的预测文件名将在攻击的第二步中使用。

通过初始拦截,MITM攻击者因此能够通过响应http://au.ff.avast.sec.miui.com/android/vps_v4_info.vpx请求的“404错误”来阻止未来的Avast更新

 

第2阶段:通过AVL更新路径遍历漏洞覆盖Avast更新APK

一旦攻击者开始主动阻止与Avast服务器的连接,用户就会将默认防病毒软件切换到另一个 - 在这种情况下,AVL Anti-Virus。请记住,AVL防病毒SDK也是Guard Provider应用程序的内置部分。

AVL成为默认防病毒软件后,会立即使用病毒库更新应用程序。它通过请求配置文件(例如http://update.avlyun.sec.miui.com/avl_antiy/miuistd/siglib/20180704.cj.conf检查是否存在新病毒签名来实现此目的此.conf文件具有纯文本格式,表示具有新签名的ZIP存档的URL,大小和MD5哈希。

图4: AVL更新配置文件。

 

处理完配置文件后,AVL会下载read_update_url字段中指示的签名存档,并将其解压缩到Guard Provider目录。

MITM攻击者再一次能够更改.conf文件的内容,因为它是通过非安全连接下载的,使用is_new = 0来显示是否存在新更新,并提供指向精心制作的ZIP文件的URL链接。

图5:修补的AVL更新配置文件。

 

事实证明,AVL SDK易受另一个安全问题的攻击,该问题可帮助攻击者执行攻击的第二阶段:解压缩过程中的路径遍历。因此,攻击者可以使用精心设计的存档覆盖应用程序沙箱中的任何文件,包括与其他SDK相关的文件。

因此,精心设计的APK(作为“../../app_dex/vps_update_20190205-124933.apk”条目附加到ZIP签名的存档中)将成功覆盖以前从Avast下载的更新,因为两个防病毒SDK组件都使用各自SDK中的相同沙盒。

如果您还记得,在MiTM攻击的第一步中检测到了最后一次Avast更新的APK文件名。

图6:带有AVL签名的精心打印的存档。

 

攻击者现在需要做的就是释放Avast通信并阻止AVL的通信,直到用户再次选择Avast作为活动防病毒。发生这种情况时,Avast SDK将加载并执行制作的恶意APK文件。

攻击是成功的,因为之前的Avast更新的签名文件在加载之前未经过验证,而Guard Provider在第一次下载时已经对其进行了检查。因此,假设没有理由再次验证它。通过这种方式,可以下载和运行精心制作的恶意文件,因为他基本上已经潜伏在守卫的后面。

 

结论

完全可以理解的是,用户会信任智能手机制造商预装的应用程序,特别是当这些应用声称保护手机本身时。然而,在小米的“卫队提供者”中发现的这个漏洞提出了一个令人担忧的问题,即谁在守卫监护人。虽然监护人不一定需要防范,但显然在应用程序开发方面,即使是智能手机厂商内置的应用程序,也不能太谨慎。

上述攻击情形还说明了在一个应用程序中使用多个SDK的危险。虽然每个SDK中的小错误通常可能是一个独立的问题,但是当在同一个应用程序中实现多个SDK时,更多关键漏洞可能不会太遥远。

Check Point SandBlast Mobile,如果安装在设备上,将检测并防止最初的中间人攻击,从而消除小米卫士提供商中此漏洞造成的威胁。



发表评论 / Comment

用心评论~