Los teléfonos inteligentes Lenovo VIBE se vieron afectados por vulnerabilidades de seguridad que podría permitir a un atacante con acceso físico al dispositivo obtener privilegios de root.
Investigadores de Lenovo confirmó que las vulnerabilidades podrían ser explotadas únicamente en dispositivos que no están protegidos con una pantalla de bloqueo de seguridad (es decir, PIN, código de acceso) y los defectos afectan sólo a Android anterior a la 6.0.Los atacantes pueden desencadenar que se eleven los privilegios de usuario root e interferir con el funcionamiento del dispositivo.
El aviso de Lenovo informa de tres defectos que pueden ser de cadena para comprometer un dispositivo de Lenovo.
CVE-2017 a 3748: Controles de acceso indebido en el componentenac_server pueden ser objeto de abuso en conjunción con CVE-2.017-3749 y CVE-2017-3750 para elevar los privilegios de usuario root (comúnmente conocido como 'enraizamiento' o “ romper la cárcel " un dispositivo).
CVE-2017 hasta 3749: La aplicación amigo Android permite que los datos privados para hacer copias de seguridad y restaurar a través de Android Debug Bridge, que permite la manipulación que permita controlar en conjunto con CVE-2.017 hasta 3.748 mil y CVE-2017-3750
CVE-2017-3750: La aplicación seguridad Lenovo Android permite que los datos privados para hacer copias de seguridad y restaurar a través de Android Debug Bridge, que permite la manipulación que permita controlar en conjunto con CVE-2.017-3748
Las vulnerabilidades fueron encontrados por el equipo rojo de Mandiant en mayo de 2016, y se informó a Lenovo. Los defectos se solucionaron rápidamente por Motorola que estaba a cargo de las soluciones móviles de Lenovo.
“En mayo de 2016, el Equipo Rojo de Mandiant descubrió una serie de vulnerabilidades presentes en el dispositivo móvil basado en Android Vibe P1 de Lenovo que permiten la elevación local de privilegios para el usuario‘root’. Mandiant divulgada estas vulnerabilidades a Lenovo en Mayo de 2016. Lenovo recomienda Mandiant que debería trabajar con Motorola, que había adquirido y ahora era responsable de la cartera de productos móviles de Lenovo.” Afirma el análisis publicado por FireEye-Mandiant.
La lista completa de los afectados teléfonos inteligentes Lenovo ambiente era incluido en el asesor oficial de Motorola, Lenovo emitió actualizaciones de seguridad sólo para 20 de los 40 modelos de teléfonos.
Motorola ha rediseñado el mecanismo afectada para utilizar un proceso más seguro.
Permitir ”copias de seguridad en aplicaciones con privilegios también pueden ser perjudiciales y deben ser anulado. El hecho de que una aplicación no se está ejecutando como un ID de usuario de Android privilegiada como 'android.uid.system', no significa que no pueda introducir vulnerabilidades y se utiliza para escalar privilegios. Por último, las aplicaciones no deben permitir que el código ejecutable (clases Java, binarios ELF, o los objetos compartidos) dentro de copias de seguridad. Esto puede limitar el uso de un BackupAgent “, concluyó FireEye-Mandiant.Los investigadores destacaron que las vulnerabilidades en los teléfonos inteligentes Lenovo VIBE son difíciles de explotar en caso de un ataque real.
Fecha actualización el 2021-09-30. Fecha publicación el 2017-7-4. Categoría: Lenovo. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs