eGospodarka.pl

eGospodarka.plWiadomościTelekomunikacja › Smartfony LG z lukami bezpieczeństwa

Smartfony LG z lukami bezpieczeństwa

2018-05-18 09:55

Smartfony LG z lukami bezpieczeństwa

Zagrożenia mobilne © fot. mat. prasowe

Smartfony LG nieodporne na ataki ze strony hakerów? Ostatnie odkrycia zespołu badawczego firmy Check Point Software Technologies każą na tak zadane pytanie odpowiedzieć twierdząco. Co może stać się źródłem kłopotów? Okazuje się, że jet to klawiatura systemowa. Słabe punkty dotyczą takich flagowców LG jak G4, G5 oraz LG G6.
Zagrożenie będące rezultatem źle zabezpieczonej klawiatury systemowej firma Check Point wykryła już przed kilkoma miesiącami. O lukach natychmiast powiadomiono LG, które podjęło stosowne w takich przypadkach kroki i udostępniło jedną łatkę na dwie z wykrytych podatności (CVE - CVEXXX).
Obie mogły zostać wykorzystane do uzyskania dodatkowych uprawnień na urządzeniach mobilnych LG. Chodziło o możliwość manipulowania procesem aktualizacji klawiatury, włączenie keyloggera, co w efekcie pozwalało na zdobycie wrażliwych danych, w tym haseł i loginów.

Pierwsza podatność


Jak donosi Check Point, pierwsza z podatności skrywała się w opcji umożliwiającej obsługę pisma odręcznego. Klawiatura ta działa w różnych językach, przy czym domyślnie zainstalowany jest język angielski. Po zainstalowaniu nowego języka lub aktualizacji istniejącego, urządzenie dociera do zakodowanego serwera, z którego pobiera pożądany plik językowy. Pobieranie to odbywa się jednak za pośrednictwem niezabezpieczonego połączenia HTTP, narażając je na ataki typu Man-in-The-Middle i inne manipulacje. Atak taki może spowodować pobranie przez urządzenie złośliwego pliku zamiast pliku językowego, który zamierzało pobrać.

fot. mat. prasowe

Zagrożenia mobilne

Zespół badawczy firmy Check Point Software Technologies odkrył, iż większość smartfonów LG była narażona na ataki hakerów


Druga podatność na zagrożenia - Manipulacja lokalizacyjna


Lokalizacja pobranego pliku na dysku jest kontrolowana przez proxy MITM. Co ważne, lokalizacja pliku zasobu zależy od nazwy pliku, jak np. files.txt, będący plikiem metadanych. Dzięki mechanizmowi trawersowania ścieżki, nazwa ta może być traktowana jako lokalizacja i modyfikowana do dowolnej innej ścieżki w sandboksie pakietu klawiatury LG.

Aplikacja klawiatury LG zakłada wtedy, że macierzysty plik „lib” może być częścią pakietu językowego i udziela uprawnień dla wszystkich pobranych plików z rozszerzeniem.so. Tak więc, jeśli plik metadanych zostanie rozszerzony o plik .so, wpis do pliku fałszywej biblioteki zostanie oznaczony na dysku jako tzw. plik wykonywalny, pozwalając na wstawienie dowolnych poleceń w aplikacji klawiatury!

oprac. : eGospodarka.pl

Więcej na ten temat: smartfony LG, ataki hakerskie

Oceń

0 0

Podziel się

Poleć na Wykopie Poleć w Google+

Poleć artykuł znajomemu Wydrukuj

Telefon myPhone Halo S

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

REKLAMA

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo:

Ok, rozumiem Strona wykorzystuje pliki cookies w celu prawidłowego jej działania oraz korzystania z narzędzi analitycznych, reklamowych, marketingowych i społecznościowych. Szczegóły znajdują się w Polityce Prywatności. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Jeśli nie chcesz, aby pliki cookies były zapisywane w pamięci Twojego urządzenia, możesz to zmienić za pomocą ustawień przeglądarki.