Local Root Exploit σε κινητά της Lenovo. Ποιες συσκευές επηρεάζονται

Τα smartphoneς της σειράς “VIBE” της Lenovo περιλαμβάνουν ευπάθειες που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα με φυσική πρόσβαση στη συσκευή να αποκτήσει δικαιώματα root. Ακολουθεί αναλυτική λίστα με όλες τις επηρεαζόμενες συσκευές.

Σύμφωνα με ανακοίνωση της Lenovo, τα κενά ασφάλειας έχουν αντίκτυπο μόνο σε συσκευές που δεν προστατεύονται με κάποιον τύπο κλειδώματος οθόνης, πχ με PIN ή μοτίβο, και τρέχουν Android Lollilop ή κάποια παλαιότερη έκδοση του λειτουργικού.

Μέσω της εκμετάλλευσης των συγκεκριμένων ευπαθειών, ένας τοπικός χρήστης ή εισβολέας μπορεί να αυξήσει τα δικαιώματα του root user, “τροποποιώντας τη λειτουργία και τη λειτουργικότητα της συσκευής με μυριάδες τρόπους”.

Συνολικά ανακαλύφθηκαν τρία σημεία ευπάθειας που μπορούν να αξιοποιηθούν συνδυαστικά, με την εταιρεία να αναφέρει ότι μόνο οι συσκευές που τρέχουν εκδόσεις προγενέστερες του Android 6.0 είναι ευάλωτες στο συγκεκριμένο root exploit.

SecNewsTV

23.6K subscribers

Περισσότερα... Subscribe!

Το πρώτο από τα τρία κενά ασφάλειας (CVE-2017-3748) προκύπτει από μη κατάλληλα στοιχεία ελέγχου πρόσβασης στο component nac_server. Τα άλλα δύο κενά ασφάλειας (CVE-2017-3749 και CVE-2017-3750) επηρεάζουν τις εφαρμογές Idea Friend Android και Lenovo Security Android, αντίστοιχα. Έχοντας σχεδιαστεί έτσι ώστε να επιτρέπουν την “δημιουργία αντιγράφων ασφαλείας και την αποκατάσταση ιδιωτικών δεδομένων μέσω του Android Debug Bridge”, οι εφαρμογές μπορούν να “παραποιηθούν” οδηγώντας σε privilege escalation.”

Συνολικά, πάνω από 40 μοντέλα τηλεφώνων της Lenovo φαίνεται να επηρεάζονται και η εταιρεία αναφέρει ότι δεν υπάρχει διαθέσιμο fix για 20 από αυτά (15 μοντέλα δεν επηρεάζονται, καθώς έχουν ήδη ενημερωθεί). Η Lenovo δημοσίευσε μια πλήρη λίστα με τις επηρεαζόμενες συσκευές, η οποία παρατίθεται και παρακάτω.

Επηρεαζόμενες συσκευές χωρίς διαθέσιμο patch:

• A1600
• A2560
• A2800
• A2860
• A2880
• A3000
• A3500
• A3600-d
• A3600u
• A3800-d
• A3900
• A6000
• A6000-I
• A6600
• A6020i37
• A6800
• K30-E
• K30-W-cu
• K32c30
• K80M

Συσκευές που επηρεάζονται στο Android Lollipop και έχουν γίνει patched:

• A2010-a
• A2010-l
• A2020a40
• A2580
• A3580
• A3690
• A3860(t-3)
• A3860(ts-3)
• A3890
• A3910e70
• A3910t30
• A5600
• A5890
• A6020a40
• A6020a41
• A6020a46
• A6020i36
• A7600
• A7600-m
• K31-t3-s
• K32c36
• K52t38
• K920
• P1ma40
• S1La40

Μοντέλα συσκευών που ΔΕΝ επηρεάζονται καθώς έχουν ήδη αναβαθμιστεί:

• A5860
• A7010a48
• A7020a40
• A7020a48
• K50-t3s
• K50-t5
• K51c78
• K52e78
• P1c58
• P1c72
• X3a40
• X3c50
• X3c70
• Z90-3
• Z90-7