Локальный root-эксплойт найден в смартфонах Lenovo

В смартфоне Lenovo VIBE были обнаружены уязвимости, способные позволить злоумышленнику с физическим доступом к устройству повысить свои привилегии до root.

Как объясняется в сообщении, данные бреши затрагивают только те устройства, которые не защищены экраном блокировки (например, PIN-кодом или паролем). Используя эти уязвимости, локальный пользователь или злоумышленник могут повысить привилегии до root и «модифицировать работу и функции устройства множеством способов».

В общей сложности было обнаружено три недостатка, которые могут использоваться в связке. Однако эксперты утверждают, что в зону риска попадают устройства, на которых установлена версия Android ниже 6.0.

Первая из трех уязвимостей, получившая идентификатор CVE-2017-3748, существует из-за неправильного контроля доступа в компоненте nac_server.

Остальные две бреши (CVE-2017-3749 и CVE-2017-3750) затрагивают приложения Idea Friend Android и Lenovo Security Android.

Все три дыры в безопасности были обнаружены экспертами Red Team в мае 2016 года, в том же месяце о них было сообщено разработчикам.

«После получения информации о брешах в смартфонах, Motorola исправила уязвимости, переработав механизм, используя теперь более безопасный процесс» - поясняет Джейк Валлетта (Jake Valletta) из Red Team.

Поскольку цепочка эксплойтов требует физического доступа к устройству, маловероятно, что мы увидим ее в реальных атаках. Тем не менее, пользователям рекомендуется обновить программное обеспечение своих устройств до самой последней версии, а также настроить экран блокировки на использование пароля или PIN-кода.