นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ออกมาแจ้งเตือนผู้ใช้สมาร์ตโฟน Xiaomi หลังพบว่าแอปพิลเคชันด้านความมั่นคงปลอดภัยที่ติดตั้งมาจากโรงงานรวมแล้วกว่า 150 ล้านเครื่องมีช่องโหว่ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กอุปกรณ์จากระยะไกลได้

แอปพลิเคชันด้านความมั่นคงปลอดภัยที่มีปัญหาชื่อว่า “Guard Provider” ซึ่งพัฒนาโดย Xiaomi เอง เป็นแอปพลิเคชันที่รวม Antivirus 3 ยี่ห้อเข้าด้วยกันเพื่อให้ผู้ใช้เลือกใช้ ได้แก่ Avast, AVL และ Tencent อย่างไรก็ตาม Check Point พบว่าแอปพลิเคชันดังกล่าวมีการใช้ Software Development Kits (SDKs) หลายรายการ ซึ่งมีจุดอ่อนคือข้อมูลบนแต่ละ SDK จะไม่ถูกแยกออกจากกัน ส่งผลให้ถ้า SDK ใดมีปัญหา ที่เหลือจะได้รับผลกระทบตามไปด้วย
นอกจากนี้ Check Point ยังพบว่าเมื่อ Guard Provider ทำการดาวน์โหลด Signature ใหม่ จะกระทำผ่านการเชื่อมต่อแบบ HTTP ซึ่งไม่มีความมั่นคงปลอดภัย ส่งผลให้แฮ็กเกอร์สามารถโจมตีแบบ Man-in-the-middle เพื่อดักฟังการอัปเดตอุปกรณ์ และลอบส่งอัปเดตที่เป็นมัลแวร์เข้าสู่ตัวเครื่องได้
“เมื่อเชื่อมต่อเครือข่าย Wi-Fi เดียวกับเหยื่อ เช่น ในพื้นที่สาธารณะอย่างร้านอาหาร ร้านกาแฟ หรือศูนย์การค้า แฮ็กเกอร์จะสามารถเข้าถึงรูปภาพ วิดีโอ และข้อมูลสำคัญของเจ้าของโทรศัพท์ได้ หรือลอบส่งมัลแวร์เข้าไปยังอุปกรณ์ได้เช่นกัน” — Check Point ระบุ
อย่างไรก็ตาม การโจมตีให้สำเร็จอาจทำไม่ได้ง่ายนัก Check Point จำเป็นต้องใช้ช่องโหว่ 4 รายการบน 2 SDKs รวมไปถึงอาศัยการเชื่อมต่อ HTTP ที่ไม่มั่นคงปลอดภัย ช่องโหว่ Path Traversal และช่องโหว่ Digital Signature Verification เพื่อทำการติดตั้งอัปเดตที่เป็นมัลแวร์ จนในที่สุดก็โจมตีแบบ Remote Code Execution ได้
Check Point ได้รายงานปัญหาที่ค้นพบไปยัง Xiaomi ซึ่งก็ได้ออกแพตช์เพื่อแก้ไขปัญหาทั้งหมดเป็นที่เรียบร้อย แนะนำให้ผู้ใช้ Xiaomi รีบอัปเดตแอป Guard Provider เป็นเวอร์ชันล่าสุดโดยเร็ว
รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
ที่มา: https://thehackernews.com/2019/04/xiaomi-antivirus-app.html