Ironii je, že škodlivý kód obsahovala aplikace jménem Guard Provider. Tedy titul, který měl uživateli zajistit bezpečnost uložených dat a ochranu před malwarem. Ve skutečnosti uživateli nabídla služby přesně opačné a bez vědomí uživatele jednoduše řečeno škodlivým aplikacím otevřela zadní vrátka.
Aplikace Guard Provider (com.miui.guardprovider) je dodávána v každém kusu smartphonu Xiaomi a čeští uživatelé ji v seznamu titulů najdou pod názvem Optimalizace. Ta využívá antivirového skenování z produkce Avastu, AVL a k detekci škodlivého kódu pak řešení Tencent.
Problémem je, že k updatům virových databází, které jsou pro spolehlivost antivirového programu zcela zásadní, dochází prostřednictvím nezabezpečeného připojení.
A v tomto okamžiku může útočník po připojení ke stejné wi-fi síti jako majitel s využitím libovolných SDK provést takzvaný útok typu Man-in-the-Middle (MITM). Při útocích tohoto typu vstupuje útočník do komunikace mezi dvěma uživateli a bez jejich vědomí může tuto komunikaci měnit.
Příkladem MITM útoku může být aktivní odposlech, kdy útočník naváže nezávislé spojení s obětí, která se domnívá, že komunikuje s legitimní třetí stranou. Ovšem ve skutečnosti je na druhé straně někdo úplně jiný a ten zachycuje původní zprávy a místo nich posílá vlastní.
Dalším příkladem MITM útokůje snadná infikace tzv. ransomwarem, který po uživateli žádá pro své odstranění výkupné, případně prakticky jakýmkoli jiným malwarem prostřednictvím infikované falešné aktualizace některé z nainstalovaných aplikací. U updatu známé aplikace přitom uživatelé rozhodně nákazu neočekávají.
Bezpečnostní problém značného rozsahu
Malware by v právě rozbaleném smartphonu čekal málokdo, ovšem z minulosti, a to nikterak dávné, takové případy pamatujeme (více v článku: Malware ve značkovém telefonu z výroby není sci-fi. Odhalili jich 5 milionů).
Ovšem případ Guard Provideru je alarmující svým rozsahem. V tomto případě nemluvíme o okrajovém výrobci se zanedbatelným tržním podílem typu americké společnosti BLU. Řeč je o Xiaomi, čínském dravci a aktuálně čtvrtém největším producentovi smartphonů. Výrobci, který z celosvětového trhu v loňském roce podle agentury Gartner uzmul bezmála osm procent a jeho četné otevírání nových prodejen v Evropě svědčí o agresivní expanzi daleko mimo domovinu.
Guard Provider tak vzhledem k masivním prodejům smartphonů Xiaomi mohl napáchat značné škody. Nepříjemností také je, že předinstalované aplikace mnohdy nelze smazat. Tým společnosti Check Point neprodleně po svých zjištěních informoval vedení Xiaomi, které krátce na to vydalo softwarovou záplatu. Ta problém eliminuje.
