DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

Новость LG исправила критические уязвимости в своих смартфонах

Apollon

Ветеран

Apollon

Ветеран
Статус
Offline
Регистрация
21 Апр 2018
Сообщения
892
Реакции
3
Покупки через Гарант
0
Продажи через Гарант
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.

Компания LG выпустила обновления безопасности, устраняющие две опасные уязвимости, позволяющие выполнить произвольный код и записать нажатия клавиш, похитить учетные данные и другую конфиденциальную информацию.

Уязвимости затрагивают виртуальную клавиатуру LG IME, поставляемую в составе всех современных моделей смартфонов производителя. Исследователям из компании Check Point удалось воспроизвести и проэксплуатировать проблемы на устройствах LG G4, G5 и G6. Атакующий может проэксплуатировать уязвимости и выполнить произвольный код с повышенными привилегиями путем манипулирования процессом обновления виртуальной клавиатуры, в частности функции MyScript.

Первая уязвимость связана с механизмом установки новых языковых пакетов или обновления уже существующих. Необходимые файлы передаются на устройство с сервера по незащищенному HTTP-соединению, что создает возможность для атаки посредника («человек посередине») и замены легитимного обновления вредоносным.

Вторая проблема представляет собой уязвимость типа «обход каталога» (path traversal) и может быть проэксплуатирована атакующим в положении «человек посередине» для внедрения вредоносной библиотеки в конфигурационный файл приложения клавиатуры. Вредоносное ПО загрузится при перезапуске клавиатуры.

По словам производителя, вышеописанные уязвимости затрагивают только функцию MyScript.

Напомним, ранее команда исследователей из Свободного университета Амстердама (Vrije Universiteit Amsterdam)представила новый метод атаки Rowhammer на Android-устройства, предусматривающий использование графического процессора и технологии WebGL.
 
Сверху