В смартфонах LG обнаружены две опасные уязвимости
Читати цю новину російською мовоюИсследователи компании Check Point нашли два опасных бага в кастомизированной версии операционной системы Android, которую компания LG использует в своих смартфонах.
Одна из уязвимостей позволяет удаленно модифицировать или стирать текстовые сообщения.
Первая уязвимость получила идентификатор CVE-2016-3117. lgОна может быть использовала локально и связана с привилегированным сервисом LG — LGATCMDService.
Из-за программной ошибки, к данному сервису может обращаться абсолютно любое приложение, вне зависимости от его привилегий и происхождения. Эта особенность позволяет атакующему выполнить ряд неприятных для владельца устройства действий. К примеру, переписать IMEI или MAC-адрес аппарата, перезагрузить устройство, отключить USB, или вообще превратить устройство в кирпич. Исследователи отмечают, что данная проблема может быть успешно использована в сочетании с вымогательским ПО:
«Авторы вымогательского ПО найдут эти функции очень полезными, так как смогут заблокировать пользователя в пределах устройства, отключив передачу данных через USB и лишив жертву возможности скопировать файлы на компьютер».
Вторая уязвимость имеет идентификатор CVE-2016-2035. Баг связан с тем, как LG осуществила собственную реализацию протокола WAP Push, который используется для обработки текстовых сообщений, содержащих ссылки на сайты. Как выяснили исследователи, реализация LG уязвима перед SQL-инъекциями.
Так как WAP Push позволяет редактировать и удалять текстовые сообщения, атакующий может эксплуатировать проблему и модифицировать сообщения для конкретного устройства.
«Потенциальный атакующий может использовать эту уязвимость с целью хищения учетных данных, или чтобы обманом заставить пользователя установить вредоносное приложение. Злоумышленник способен модифицировать непрочитанные SMS-сообщения пользователя и добавить в них вредоносный URL, который направит жертву на подставной сайт или инициирует скачивание приложения».
Источник: Portaltele.com.ua
- 107
- 01.06.2016 12:50
Коментарі до цієї новини: