Check Point Research-team ontdekt probleem met vooraf geïnstalleerde beveiligingsapp op mobiele apparaten van Xiaomi

Bunnik – Check Point Research heeft kwetsbaarheden ontdekt op mobiele toestellen van Xiaomi in een vooraf geïnstalleerde applicatie. Het Chinese bedrijf Xiaomi is, met momenteel 7,5 procent marktaandeel, na Samsung, Apple en Huawei wereldwijd de grootste verkoper van mobiele telefoons. Ironisch genoeg zit het probleem uitgerekend bij de beveiligingsapp genaamd ‘Guard Provider’, die toestellen tegen malware moet beschermen.

Op veel smartphones staan meerdere applicaties die door de fabrikant op voorhand zijn geïnstalleerd. Sommigen zijn erg nuttig, terwijl andere apps zelden of nooit worden gebruikt. Gebruikers verwachten uiteraard niet dat die apps een risico voor hun privacy of veiligheid kunnen betekenen. Uit onderzoek van Check Point blijkt echter dat de applicatie ‘Guard Provider’ de Xiaomi-toestellen juist kwetsbaar maakt voor aanvallen.

De oorzaak van het probleem is onbeveiligd netwerkverkeer van en naar ‘Guard Provider’ in combinatie met het gebruik van meerdere SDK’s (Software Development Kits) in dezelfde app. Een aanvaller kan zich met hetzelfde netwerk als het slachtoffer verbinden en zo een ‘Man-in-the-Middle’-aanval (MiTM) uitvoeren. Dankzij gaten in de communicatie tussen de verschillende SDK’s kan die aanvaller vervolgens kwaadwillige code toevoegen voor bijvoorbeeld het stelen van wachtwoorden of het installeren van allerlei malware. Lees voor alle technische details het volledige onderzoek van Check Point Research.

“Vooraf geïnstalleerde applicaties zoals ‘Guard Provider’ staan standaard op alle mobiele toestellen en kunnen niet worden verwijderd. Daarom stelde Check Point fabrikant Xiaomi op de hoogte van het probleem, waarvoor inmiddels een patch is uitgestuurd”, legt Hans van den Boomen, SE Manager bij Check Point Software Technologies, uit.

Een SDK is een set programmeertools die ontwikkelaars ondersteunen bij het bouwen van applicaties voor specifieke platformen. SDK’s bieden ontwikkelaars voor mobiele apparaten grote voordelen: voor functies die niets met de kern van hun app te maken, hebben hoeven zij geen tijd meer te besteden aan het schrijven van code en het ontwikkelen van back-end-stabiliteit.

Het groeiend aantal beschikbare SDK’s biedt ontwikkelaars steeds meer mogelijkheden en kansen. Daardoor kunnen zij applicaties beter laten functioneren voor de eindgebruiker. Er worden op deze manier echter ook steeds meer codes van derde partijen toegevoegd, wat het beheren van de prestaties en het beveiligen van gebruikersgegevens weer veel ingewikkelder maakt.

Meervoudig gebruik van SDK’s in dezelfde applicatie leidt tot ‘SDK Fatigue’: de app wordt veel kwetsbaarder voor problemen zoals crashes, virussen, malware, privacyinbreuk, overmatig batterijverbruik en vertragingen. Het grootste nadeel van meerdere SDK’s in dezelfde app is dat ze allemaal de context en de goedkeuringen van de applicatie delen. Dit heeft een aantal gevolgen:

Uit een recent rapport blijkt dat het gebruik van meerdere SDK’s in één app veel vaker voorkomt dan gedacht. Gemiddeld zijn er tegenwoordig meer dan 18 SDK’s geïmplementeerd in een enkele app. Dit stelt organisaties en (eind)gebruikers bloot aan potentiële valkuilen die aanvallers kunnen benutten om de werking van het toestel te verstoren.

Hoewel van het securitypersoneel van een organisatie niet wordt verwacht dat ze alle ins and outs kennen van de gebruikte SDK’s voor apps die medewerkers op hun toestellen installeren, moeten ze wel beseffen dat de opbouw van deze apps verborgen security-risico’s met zich mee brengt. Eindgebruikers verwachten dat de gebruikte elementen voor een security-app allemaal veilig zijn, maar uit de kwetsbaarheid bij ‘Guard Provider’ op Xiaomi-toestellen blijkt dit echter geen zekerheid.

Ontwikkelaars en organisaties moeten zich ervan bewust zijn dat de combinatie van een veilig element met een ander veilig element niet direct betekent dat – wanneer ze samen in een app geïmplementeerd worden – een toestel als geheel veilig is. “De enige bescherming tegen deze verborgen dreigingen is ervoor zorgen dat mobiele apparaten beveiligd zijn tegen potentiële MiTM-aanvallen”, zegt van den Boomen. “Check Point SandBlast Mobile kan aanvallen detecteren en voorkomen, en zo het gevaar van meervoudig SDK-gebruik neutraliseren.”

######

Check Point Software Technologies Ltd. biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt. plus het meest uitgebreide en intuïtieve beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.