Представлен способ получения прав суперпользователя на смартфонах Lenovo VIBE

Представлен способ получения прав суперпользователя на смартфонах Lenovo VIBE

Получить права суперпользователя можно, проэксплуатировав связку из трех уязвимостей.

image

Исследователи компании Mandiant нашли способ, позволяющий получить права суперпользователя на смартфонах Lenovo VIBE с помощью трех уязвимостей. Для успешного осуществления атаки у злоумышленника должен быть физический доступ к устройству, а сам смартфон не должен быть защищен паролем. Способ применим только к смартфонам, работающим под управлением Android не выше версии 6.0.

Согласно уведомлению Lenovo, путем совместной эксплуатации трех уязвимостей можно повысить свои привилегии на Lenovo VIBE до уровня суперпользователя. Речь идет о CVE-2017-3748, CVE-2017-3749 и CVE-2017-3750. Первая проблема вызвана неправильным управлением доступом к компоненту nac_server. Вторая и третья уязвимости связаны с приложениями Idea Friend Android и Lenovo Security Android соответственно, позволяющими создавать резервные копии данных и восстанавливать их через Android Debug Bridge.

Исследователи Mandiant сообщили производителю о проблемах в мае 2016 года, и компания Motorola, отвечающая за мобильные решения Lenovo, исправила их. Lenovo выпустила обновления только для 20 из 40 уязвимых моделей смартфонов. Полный список уязвимых устройств Lenovo VIBE опубликован в уведомлении Motorola.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle