Эксплуатация ошибок позволяет удалить или модифицировать все сообщения на гаджете или превратить его в «кирпич».
Компания LG Electronics выпустила обновления безопасности, устраняющие две опасные уязвимости в Android-смартфонах ее производства, в том числе проблему, позволяющую удаленно удалять или модифицировать непрочитанные SMS-сообщение на целевом гаджете.
Обе ошибки были обнаружены исследователями из компании Check Point. Первая уязвимость (CVE-2016-3117) связана с сервисом LGATCMDService и может быть проэксплуатирована локально. Как указывают эксперты, с LGATCMDService может взаимодействовать любое приложение вне зависимости от его происхождения или разрешений. Данная уязвимость позволяет атакующему подключиться к службе и осуществить различные действия. Например, просмотреть и изменить IMEI и MAC-адрес, отключить USB-порт, перезагрузить устройство или удалить с него все данные и даже превратить гаджет в «кирпич».
Данная уязвимость может быть весьма полезна операторам вымогательского ПО, отмечают исследователи. Успешная эксплуатация ошибки позволит шифровальщику заблокировать телефон и лишить жертву возможности восстановить файлы, подключившись к компьютеру.
Вторая проблема (CVE-2016-2035) связана с реализацией протокола WAP Push и позволяет осуществить SQL-инъекцию. Проэксплуатировав ошибку, удаленный атакующий может удалить или модифицировать любое SMS-сообщение на целевом смартфоне, похитить учетные данные или обманом заставить пользователя загрузить вредоносное приложение.