Уязвимости позволяли удаленному злоумышленнику осуществить MitM-атаку и выполнить произвольный код.
Компания Lenovo без лишнего шума выпустила патч, исправляющий ряд уязвимостей, позволяющих удаленному злоумышленнику осуществить MitM-атаку и выполнить произвольный код. Уязвимости затрагивают все планшеты Lenovo под управлением ОС Android, а также смартфоны модели Vibe, Zuk, Moto M (XT1663) и Moto E3 (XT1706).
Уязвимости связаны с эксклюзивным для устройств Lenovo приложением Lenovo Service Framework (LSF). Оно используется для получения push-уведомлений с серверов Lenovo, таких как сообщения о промо-акциях, новостях, опросах, а также для обновления приложений в случае необходимости.
Однако исследователь безопасности Имре Рад обнаружил, что LSF также может эксплуатироваться злоумышленниками для загрузки и выполнения произвольного кода с удаленного сервера. В общей сложности исследователь обнаружил 4 уязвимости:
По словам исследователя, злоумышленники могут изменить системные настройки, выполнить произвольные shell-команды и установить вредоносные пакеты. В случае CVE-2017-3760 приложение получало системные сообщения с удаленного web-сервиса. Хотя сообщение передавалось по незащищенному HTTP-каналу, ответы сервера шифровались с помощью закрытого ключа RSA. Проблема заключается в том, что ключ RSA, использующийся для проверки подписи, можно найти в интернете как часть демонстрационного приложения библиотеки программного обеспечения. Таким образом злоумышленник с доступом к недоверенной сети ("левой" точке доступа Wi-Fi или сети GSM) может осуществить MitM-атаку, перехватить подключение и получить полный контроль над устройством.
По словам представителей Lenovo, патчи, исправляющие данные уязвимости уже доступны для скачивания. На данный момент нет свидетельств активной эксплуатации уязвимостей злоумышленниками. В компании не сообщили точное количество затронутых устройств. Согласно IDC, с 2015 года Lenovo продала более 20 млн планшетов.