Exploitation racine locale trouvée sur Lenovo Smartphone


Le smartphone Lenovo VIBE a été trouvé pour inclure des vulnérabilités qui pourraient permettre à un attaquant ayant un accès physique au périphérique d'obtenir des privilèges root.

Les défauts, Lenovo explique dans un avis, n'impacts que les périphériques qui ne sont pas protégés avec un écran de verrouillage sécurisé, comme un code PIN ou un mot de passe. En exploitant ces problèmes, un utilisateur local ou un attaquant peut élever des privilèges à l'utilisateur root et peut "modifier le fonctionnement et la fonctionnalité du périphérique de multiples façons".

Un total de trois vulnérabilités pouvant être exploitées en conjonction ont été découvertes, mais la société affirme que seuls les périphériques exécutant des versions d'Android antérieures à 6.0 peuvent être vulnérables à l'exploitation racine.

Suivi comme CVE-2017-3748, le premier des trois bugs est créé par des contrôles d'accès incorrects sur le composant nac_server .

Les deux autres questions, CVE-2017-3749 et CVE-2017-3750, influent sur les applications Android Idea Friend et Lenovo Security, respectivement. Conçu pour permettre la sauvegarde et la restauration de données privées via Android Debug Bridge, "les applications permettent également" une manipulation abusive conduisant à une escalade de privilèges ".

Les trois bugs ont été trouvés par l'équipe rouge de Mandiant en mai 2016 et ont été signalés le même mois. En charge du portefeuille de téléphonie mobile de Lenovo, Motorola a depuis corrigé les vulnérabilités en redessinant "le mécanisme affecté pour utiliser un processus plus sécurisé", explique Jake Valletta, de l'équipe Mandiant Red.

"Permettre des sauvegardes sur des applications privilégiées peut également être préjudiciable et …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils