LG исправила критические уязвимости в своих смартфонах

Компания LG выпустила обновления безопасности, устраняющие две опасные уязвимости, позволяющие выполнить произвольный код и записать нажатия клавиш, похитить учетные данные и другую конфиденциальную информацию.

Уязвимости затрагивают виртуальную клавиатуру LG IME, поставляемую в составе всех современных моделей смартфонов производителя. Исследователям из компании Check Point удалось воспроизвести и проэксплуатировать проблемы на устройствах LG G4, G5 и G6. Атакующий может проэксплуатировать уязвимости и выполнить произвольный код с повышенными привилегиями путем манипулирования процессом обновления виртуальной клавиатуры, в частности функции MyScript.

Первая уязвимость связана с механизмом установки новых языковых пакетов или обновления уже существующих. Необходимые файлы передаются на устройство с сервера по незащищенному HTTP-соединению, что создает возможность для атаки посредника («человек посередине») и замены легитимного обновления вредоносным.

Вторая проблема представляет собой уязвимость типа «обход каталога» (path traversal) и может быть проэксплуатирована атакующим в положении «человек посередине» для внедрения вредоносной библиотеки в конфигурационный файл приложения клавиатуры. Вредоносное ПО загрузится при перезапуске клавиатуры.

По словам производителя, вышеописанные уязвимости затрагивают только функцию MyScript.

Напомним, ранее команда исследователей из Свободного университета Амстердама (Vrije Universiteit Amsterdam) представила новый метод атаки Rowhammer на Android-устройства, предусматривающий использование графического процессора и технологии WebGL.