Исследователи обнаружили в смартфонах LG две опасные уязвимости
Исследователи компании Check Point нашли два опасных бага в кастомизированной версии операционной системы Android, которую компания LG использует в своих смартфонах.
Одна из уязвимостей позволяет удаленно модифицировать или стирать текстовые сообщения.
Первая уязвимость получила идентификатор CVE-2016-3117. Она может быть использовала локально и связана с привилегированным сервисом LG — LGATCMDService.
Из-за программной ошибки, к данному сервису может обращаться абсолютно любое приложение, вне зависимости от его привилегий и происхождения. Эта особенность позволяет атакующему выполнить ряд неприятных для владельца устройства действий. К примеру, переписать IMEI или MAC-адрес аппарата, перезагрузить устройство, отключить USB, или вообще превратить устройство в кирпич. Исследователи отмечают, что данная проблема может быть успешно использована в сочетании с вымогательским ПО:
«Авторы вымогательского ПО найдут эти функции очень полезными, так как смогут заблокировать пользователя в пределах устройства, отключив передачу данных через USB и лишив жертву возможности скопировать файлы на компьютер».
Вторая уязвимость имеет идентификатор CVE-2016-2035. Баг связан с тем, как LG осуществила собственную реализацию протокола WAP Push, который используется для обработки текстовых сообщений, содержащих ссылки на сайты. Как выяснили исследователи, реализация LG уязвима перед SQL-инъекциями.
Так как WAP Push позволяет редактировать и удалять текстовые сообщения, атакующий может эксплуатировать проблему и модифицировать сообщения для конкретного устройства.
«Потенциальный атакующий может использовать эту уязвимость с целью хищения учетных данных, или чтобы обманом заставить пользователя установить вредоносное приложение. Злоумышленник способен модифицировать непрочитанные SMS-сообщения пользователя и добавить в них вредоносный URL, который направит жертву на подставной сайт или инициирует скачивание приложения».
Сайт может содержать материалы категории 18+
Материалы со знаком публикуются на правах рекламы.Размещения рекламы: orderdsffdsg987f@vashgolos.net
При копировании материалов сайта для интернет-изданий обязательна прямая, открытая для поисковых систем гиперссылка. Администрация сайта не несет ответственности за содержание и достоверность рекламных материалов размещенных на данном сайте, а так же за возможный причененный вред от их использования.
