Скорость сайта
"Скорость - ВАШ путь к успеху"
📞 (915) 362-37-38  

Найдены две «дыры» для кражи данных в смартфонах LG топ уровня

В топовой серии смартфонов LG найдены «баги», которые позволяют сделать запуск произвольного кода на устройстве. Патч уже выпущен, и производитель настоятельно рекомендует установить его как можно оперативнее.

Цепочка уязвимостей

Специалисты компании Check Point Research нашли пару уязвимостей в предустановленной виртуальной клавиатуре моделей смартфонов топ уровня - G4, G5 и G6. Выявленные уязвимости могут быть использованы для удаленного выполнения на смартфонах произвольного кода с повышенными привилегиями.

Это даёт всем потенциальным хакерам самые широкие возможности, включающие установку кейлоггера (программы, отслеживающей клавиатурные нажатия) и последующий доступ к конфиденциальным пользовательским данным.

Первая весьма серьёзная ошибка безопасности связана с функцией ввода рукописного текста. Оказалось, что при обновлении языка интерфейса устройство подключается к внешнему серверу по незащищенному HTTP-соединению, которое легко поддаётся атаке «человек посередине» (Man-in-the-middle, MITM) с последующей загрузкой вредоносного файла вместо легитимного обновления.

Вторая серьёзная уязвимость относится к местоположению языкового файла. С помощью механизма «обход каталога» хакер может изменить расширение файла и внедрить вредоносное ПО в конфигурационный файл каталога клавиатуры LG.

Самое главное – правильное расширение

Как рассказали специалисты Check Point Research, файлы ресурсов, хранящиеся в «песочнице» клавиатуры LG, можно без труда модифицировать. Приложение, отвечающее за наэкранную клавиатуру, выдает разрешения на запуск любому файлу библиотеки с расширением .so. Таким образом, любой библиотечный файл с расширением .so будет загружен при очередном запуске приложения.

«Аналогичные уязвимости обнаруживаются весьма не редко. Причиной их возникновения служит отсутствие либо недостаточная эффективность механизмов верификации принимаемых системой критических файлов», - говорит Роман Гинятуллин, специалист по информационной безопасности компании SEC Consult Services. – «Чаще всего подобные «мелкие» огрехи и приводят к самым крупным проблемам. К счастью, не в этот раз».

Эксперты Check Point сообщили производителю смартфонов, и на днях LG выпустила патч с майским обновлением безопасности. Компания объединила обнаруженные уязвимости в одну — LVE-SMP-170025 и настоятельно призывает обновить ОС смартфонов не только флагманской серии G (G5, G6), но и более распространенных серий V (Q10, Q10, V8) и X (X300, X400, X500).

Данная уязвимость уникальна для смартфонов компании LG.

Новости из СМИ

Маркетинговые решения 2024 - международная конференция рекламы и маркетинга МИРБИС

В Москве 6 июня пройдет II Конференция «Маркетинговые решения 2024: Как один год изменил маркетинг в России». Организатор — Московская международная высшая школа бизнеса МИРБИС.



Пн-Вс: 10:00-19:00
+7-(915)-362-37-38
+7-(915)-362-37-38
boxplus-112@yandex.ru

Адрес:
Москва, Ленинская Слобода 19

Ускорение сайта на WORDPRESS

Ускорение сайта на TILDA

Ускорение сайта с помощью CDN

© 2020 – 2021. Все права защищены. Сайт не является публичной офертой.

Статьи и обзоры.

Политика конфиденциальности.