Еще в 2016 году специалисты компании Mandiant (дочернее предприятие FireEye) обнаружили три уязвимости  (CVE-2017-3748, CVE-2017-3749 и  CVE-2017-3750) в устройствах Lenovo VIBE.

При наличии физического доступа к смартфону (и при условии, что тот не защищен PIN-кодом и не заблокирован) баги можно использовать для получения root-привилегий. Исследователи пишут, что получив в системе права суперпользователя, атакующий может модифицировать работу и функциональность устройства бессчетным количеством способов. Эксплуатировать проблемы можно лишь на устройствах, работающих под управлением Android ниже версии 6.0.

Уязвимость CVE-2017-3748 связана с некорректным доступом к компоненту nac_server. Баги CVE-2017-3749 и CVE-2017-3750 касаются работы Idea Friend Android и Lenovo Security Android, созданных для резервного копирования и восстановления информации через Android Debug Bridge.

Хотя эксплуатация уязвимостей требует физического доступа к устройству и вряд ли данным методом смогут массово пользоваться злоумышленники, разработчики Lenovo постарались устранить проблемы. Суммарно найденные баги затрагивают более 40 моделей смартфонов Lenovo, и компания не сумела выпустить исправления для 20 из них. Полный список уязвимых устройств опубликован на сайте компании.



2 комментария

  1. Themistocles

    05.07.2017 at 08:35

    Так это же просто получение рута. Все так делают)

  2. Int

    05.07.2017 at 12:56

    Я больше скажу, имея физический доступ к телефону, его можно навсегда уничтожить без возможности восстановления. Ужасная уязвимость!
    А если он не запаролен, то можно списать с него все контакты и походить по сайтам, логины которых сохранены в браузере. Срочно закрыть эти дыры!

Оставить мнение