චීනයේ විශාලතම හා ලෝකයේ 4 වන විශාලතම ස්මාර්ට්ෆෝන් සමාගම වන Xiaomi විසින් නිෂ්පාදිත මිලියන 150 කට වැඩි ස්මාර්ට් දුරකතන වල පූර්ව ස්ථාපනය (pre-installed) කරන ලද security app එක භාවිතයෙන් Xiaomi ස්මාර්ට්ෆෝන් වලට ඇතුලු වීමට hackers ලා හට හැකියාවක් පවතින බවත් දුරක සිට උවත් එම app එක භාවිතයෙන් ස්මාර්ට්ෆොන් වලට ඇති දත්ත ලබා ගැනීමට හැකි බවත් මෑතකදී කල පර්‍යේශණ තුළින් සොයා ගැනීමට පර්යේෂකයන් සමත් වී තිබෙනවා.ය.

CheckPoint සමාගම මගින් නිකුත් කරන ලද වාර්ථාවලට අනුව පූර්ව ස්ථාපනය (pre-installed) කරන ලද Guard Provider නම් Xiaomi සමාගම විසින් නිර්මාණය කරන ලද යෙදුමෙහි විවිධ ප්රති-වයිරස (anti – virus) වැඩසටහන් තුනක් භාවිතා කර ඇත. Avast, AVL සහ Tencent යන anti-virus වැඩසටහන් තුනෙන් පරිශීලකයින්ට තමන් කැමති වැඩසටහන තෝරාගැනීමට ඉඩ සැලසෙයි.

Guard Provider app එක තුළ විවිධාකාර 3rd party වැඩසටහන් ඉදිරිපත් කිරීමට සැලසුම් කර ඇති බැවින්, single app එකක් තුල 3rd party වැඩසටහන් run කිරීමට Software Development Kits (SDKs) කිහිපයක් භාවිත කරනු ලැබේ. පර්යේෂකයන්ට අනුව එය විශිෂ්ට අදහසක් නොවේ. එවිට එක SDK තනි ඒකකයක් ලෙස ගැනීමට නොහැකි අතර එක SDK එකක ඇති වන ගැටලුවක් මුලු SDK පද්ධතියේම ආරක්ශාවට බලපානු ඇත.

“එකම යෙදුම තුළ SDK කිහිපයක් භාවිතා කිරීමේදී සැඟවුණු අවාසි වන්නේ ඒවා සියල්ලම එකම app context සහ app permissions බෙදා ගැනීමයි” යනුවෙන් ආරක්ෂක සමාගම පවසයි.

“එක් එක් SDK වල සුළු දෝෂයන් බොහෝ විට තනි ගැටළුවක් විය හැකි නමුත්, එකම යෙදුම තුළදී SDK කිහිපයක් ක්රියාත්මක වන විට බොහෝ විට වඩාත් බරපතල අවදානම් පැන නගිනු ඇත.”


තවද, latest patch ලැබීමට පෙර, Guard Provider විසින් update වන anti-virus signature අනාරක්ෂිත HTTP සම්බන්ධතාවයක් හරහා download කිරීම සිදු කරයි.එමගින් විවෘත Wi-Fi ජාලය තුල සිටින man-in-the-middle attackers ලා හට ඔබගේ උපාංගයේ ජාල සම්බන්ධතාවය හරහා push malicious updates යොදා ප්‍රහාර දියත් කිරීමට ඉඩකඩ සැලසේ.

“User පොදු ස්ථානවල Wi-Fi ජාලයකට සම්බන්ධ වූ විට, පහර දෙන්නත් එම ජාලයටම සම්බන්ධ වුවහොත් user ගේ උපාංගයේ තිබෙන පින්තූර, වීඩියෝ සහ වෙනත් සංවේදී දත්ත වලට ප්‍රවේශ වීමට හැකි බව” CheckPoint සමාගම විසින් The Hacker News වෙත පැවසීය.

CheckPoint සමාගම මඟින් පැහැදිලි කරන ලද පරිදි, පර්යේෂකයන් විසින් යෙදුම තුළ ඇති විවිධ වර්ගයේ SDK දෙකක් තුළ වෙනම ගැටළු හතරක් සොයා ගැනීමෙන් පසු එම Xiaomi devices සදහා remote code execution සාර්ථකව ක්‍රියාත්මක කර ඇත.

මෙම ප්රහාරය මූලිකවම ඉලක්ක කර ඇත්තේ අනාරක්ෂිත HTTP සම්බන්ධතාවයක් භාවිතා කිරීම මගින්  digital signature verification අවම මට්ටමේ පවතින සම්බන්ධතාවයක් හරහා anti-virus update සහ installing යන ක්‍රියාවන් උපාංගය තුල ක්‍රියාත්මක කිරීමයි.

Check Point සමාගමේ වාර්තා වලට අනුව Guard Provider යෙදවුමේ නවතම updated version එකෙහි ඉහත සදහන් සියලුම ගැටලු නිරාකරණය කර ඇති බව Xiaomi සමාගම විසින් මේ වන විට තහවුරු කර ඇත.

 

Source: www.techmiltant.blogspot.com

Leave a Reply

avatar