Эксперты по безопасности призывают владельцев планшетов и смартфонов Lenovo на базе Android обновить их, чтобы закрыть критические уязвимости, затрагивающие десятки миллионов устройств.

Пятого октября компания Lenovo без лишней огласки выпустила четыре патча для всех своих планшетов Android, смартфонов линеек Vibe и Zuk, а также для моделей Moto M (XT1663) и Moto E3 (XT1706).

По словам независимого ИБ-эксперта Имре Рада (Imre Rad), уязвимости имеют прямое отношение к вспомогательному Android-приложению Lenovo Service Framework (LSF), эксклюзивному для устройств Lenovo.

LSF получает push-уведомления с серверов Lenovo с рекламой продуктов, новостями, уведомлениями, опросами и помогает в экстренном восстановлении приложений и проведении обновлений.

Как оказалось, это Android-приложение также может облегчить задачу злоумышленникам, стремящимся загрузить на устройства код со своего сервера с целью его исполнения. Рад смог отловить четыре уязвимости:

  • CVE-2017-3758 — неправильный механизм контроля доступа в нескольких Android-компонентах приложения LSF; эксплойт может привести к удаленному выполнению кода.
  • CVE-2017-3759 — Android-приложение LSF принимает некоторые ответы сервера без надлежащей валидации. В результате приложение становится уязвимым к атакам man-in-the-middle с последующим удаленным выполнением кода.
  • CVE-2017-3760 — Android-приложение LSF использует ненадежные учетные данные во время проверки целостности загруженных приложений и/или данных. В результате приложение становится уязвимым к атакам man-in-the-middle с последующим удаленным выполнением кода.
  • CVE-2017-3761 — Android-приложение LSF выполняет некоторые системные команды без надлежащей санации внешних входных данных. В определенных случаях эксплойт влечет инъекцию команд с последующим удаленным выполнением кода.

«Уязвимости затронули некоторые устройства, поэтому мы пропатчили их и выложили обновления, которые можно установить как автоматически, так и вручную, как указано в нашем бюллетене по безопасности«, — прокомментировал представитель Lenovo для Threatpost.

По данным IDC, с 2015 года компания продала более чем 20 млн Android-планшетов. На вопрос, сколько именно из них нуждаются в обновлении, собеседник Threatpost не смог ответить. Он лишь отметил, что все смартфоны уже получили заплатки. «Мы серьезно относимся к любым уязвимостям. Патчи к этим багам уже готовы и доступны пользователям», — отметил представитель Lenovo.

Случаев эксплуатации этих уязвимостей в реальных условиях компания не зафиксировала.

«Эксплойт позволяет атакующим менять системные настройки, выполнять shell-команды и устанавливать свои пакеты. Кроме того, злоумышленники могут через LSF внедрить свой код непосредственно во флэш-память, после чего от него можно будет избавиться, только сбросив устройство до заводских настроек», — сообщил Рад.

Исследователь обнаружил уязвимость CVE-2017-3760, когда LSF-приложение опрашивало удаленный веб-сервер на наличие новых системных сообщений. Хотя обмен данными происходит через HTTP открытым текстом, ответы сервера защищены приватным ключом RSA.

«Проблема в том, что приватный ключ RSA входит в состав общедоступной пары ключей, с помощью которой проверяется подпись. В итоге этот ключ можно найти в Интернете в образце приложения из программной библиотеки», — сказано в отчете Рада. С ключом преступник может через незащищенную сеть (подставную точку доступа Wi-Fi или GSM-сеть) провести атаку man-in-the-middle: перехватить сетевое подключение и внедрить в него вредоносное сообщение с опросом. «Это достаточно эффективный способ удаленно заполучить контроль над смартфоном или другим Android-устройством Lenovo», — отметил эксперт.

Рад обнаружил уязвимости 10 мая и впервые сообщил о них в Lenovo 14 мая. Десять дней спустя специалисты Lenovo подтвердили наличие уязвимостей, а широкая публика узнала о них 5 октября.

Категории: Аналитика, Уязвимости