آسیب‌پذیری در ارتقاء امتیاز در تلفن‌های هوشمند لنوو

ویرایش شده در by علی م

آسیب‌پذیری در ارتقاء امتیاز در تلفن‌های هوشمند لنوو

در تلفن‌های هوشمند VIBE لنوو (Lenovo Vibe) چند آسیب‌پذیری کشف شده که به مهاجمی که به دستگاه دسترسیِ فیزیکی داشته باشد، امکان ارتقاء امتیازات تا سطح ریشه را می‌دهد. لنوو در مشاوره‌نامه‌ی خود گفته است این آسیب‌پذیری تنها ماوجه دستگاه‌هایی است که صفحه‌ی قفل آن‌ها، از گذرواژه و یا پین برای محافظت از دستگاه استفاده نمی‌شود. با بهره‌برداری از این آسیب‌پذیر، یک کاربر یا مهاجم محلی می‌تواند امتیازات خود را تا سطح ریشه ارتقاء دهد و عملکردها و قابلیت‌ها موجود در دستگاه را دست‌کاری کند. ۳ مورد از آسیب‌پذیری‌هایی که کشف شده‌اند قابل بهره‌برداری هستند ولی لنوو اعلام کرده دستگاه‌هایی دارای آسیب‌پذیری ارتقاء به ریشه هستند که از نسخه‌های ۶ و قبل‌تر اندروید استفاده می‌کنند.

پیشینه ی آسیب پذیری  Lenovo Vibe :

اولین آسیب‌پذیری این محصول با شناسه‌ی CVE-۲۰۱۷-۳۷۴۸ و به دلیل کنترل دسترسیِ نامناسب در مؤلفه‌ی nac_server به‌وجود آمده است. دو آسیب‌پذیری دیگر با شناسه‌های CVE-۲۰۱۷-۳۷۴۹ و CVE-۲۰۱۷-۳۷۵۰ اندروید Idea Friend و برنامه‌ی امنیتی لنوو برای اندروید را تحت تأثیر قرار داده است. این برنامه‌ها امکان دست‌کاری دستگاه را به مهاجم می‌دهند که از این طریق می‌تواند امیتازات خود را ارتقاء دهد.

لنوو

این ۳ آسیب‌پذیری در ماه می سال ۲۰۱۶ میلادی توسط محققان امنیتی کشف و در همان ماه نیز به شرکت لنوو گزارش شده است. به گفته ی یک محقق امنیتی اینکه به برنامه‌های با امتیاز بالا این امکان را بدهیم که نسخه‌ی پشتیبان تهیه کنند بسیار خطرناک است و این برنامه ممکن است آسیب‌پذیر بوده و مهاجمان از آن برای ارتقاء امتیازات خود استفاده کنند. در نهایت نیز برنامه‌های کاربردی نباید اجازه‌ی اجرای کد در داخل پرونده‌های پشتیبان را بدهند.

محققان امنیتی می‌گویند به دلیل اینکه بهر‌برداری‌ها حالت زنجیره‌ای داشته و مهاجم باید به‌طور فیزیکی به دستگاه دسترسی داشته باشد، احتمال مشاهده‌ی این حمله در دنیای واقعی بسیار کم است. با این حال به همه‌ی کاربران توصیه شده تا آخرین نسخه از بسته‌های شرکت سازنده را بارگیری و نصب کنند و برای قفل دستگاه خود نیز از گذرواژه‌های مطمئن و قوی استفاده کنند. شرکت لنوو اعلام کرده نزدیک به ۴۰ مدل از دستگاه‌های این شرکت، تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند و در حال حاضر برای ۲۰ مدل از آن‌ها هنوز وصله‌ای منتشر نشده است.

منبع :

این نوشته تا چه حد مفید بود؟
[Total: 0 Average: 0]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.