资安业者Check Point最近发现，小米手机中所预装、理应用来保护手机免受恶意软件新关键词的安全程序Guard 竟然含有安全漏洞，允许与手机用户位于同一Wi-Fi网络的新关键词执行中间人（Man-in-the-Middle，MiTM）新关键词，追究其原因则是源自于「SDK疲劳」（SDK ）。Check Point的安全研究人员Slava 解释，所有主流的小米手机都预装了Guard ，而Guard 则采用许多第三方的软件开发工具包（SDK），包括3款不同的防新关键词软件品牌：Avast、AVL与腾讯，并以Avast作为默认值。

  指出预装恶意软件，由于Avast的更新机制采用不安全的HTTP传输，使得新关键词得以侦测更新时间及猜测该APK档案的名称，进而阻挡手机与Avast服务器之间的链接，在促使用户将防毒工具切换至AVL之后，AVL除了同样也采用不安全的HTTP传输之外，其解压缩程序更含有路径跨越（Path ）漏洞，允许新关键词窜改Guard 程序沙盒中的任何档案，包括其它SDK的档案。于是，新关键词只要再阻拦AVL与服务器的联机，让使用者再切换回Avast，此时Avast的SDK就能加载及执行新关键词所植入的恶意软件。Check Point认为此一案例彰显了「SDK疲劳」的问题，软件开发工具包（SDK）原本是要简化开发人员打造程序的流程，但在同一程序中使用多种不同的SDK固然能强化程序功能，却也会衍生更多问题，涵盖当机、恶意软件、隐私外泄、让装置变成吃电怪兽或效能变差等。根据统计，现在每个行动程序平均使用了18个SDK，但只要其中一个SDK出现问题，就会危及其它所有SDK的安全性预装恶意软件，此外，单一SDK的私有储存数据并无法被隔离，也因此能被其它SDK存取。IDC的调查显示，小米现为全球第四大手机制造商，去年第四季的占有率为7.1%，仅次于三星、苹果及华为。意谓着全球有为数众多的小米手机都曝露在Guard 的安全风险中，小米在收到Check Point的通知之后很快就修补了该漏洞。部分内容来源:朕亨公益救援