Smartphones e dispositivos Móveis Lenovo Vulneráveis a Invasões de Raiz

Várias explorações diferentes foram descobertas nos telefones da Lenovo. Embora vários modelos já tenham sido corrigidos, ainda há muitos vulneráveis em fornecer acesso root aos hackers.

A gigante móvel Lenovo anunciou oficialmente que sua linha de smartphones VIBE está disponível para uma vulnerabilidade local de raiz causada por pelo menos três fraquezas diferentes de software. Várias das vulnerabilidades já foram resolvidas pela Lenovo com patches já lançados, no entanto, nem todos os telefones exploráveis foram corrigidos ainda.

Os funcionários da Lenovo explicaram em comunicado que um hacker, que tem acesso físico ao dispositivo móvel vulnerável, pode obter privilégios de root se não houver um sistema de segurança, como um código PIN ou uma senha. Se um invasor conseguir obter privilégios de raiz, ele poderá "modificar a operação e a funcionalidade do dispositivo de inúmeras maneiras", de acordo com o comunicado da empresa.

De acordo com a Lenovo, uma vulnerabilidade específica chamada CVE-2017-374 fornece recursos de acesso inadequado na seção nac_server, que, juntamente com outras explorações, podem ser mal utilizados, incluindo CVE-2017-3749 e CVE-2017-3750. Essas explorações permitem que os invasores obtenham acesso root ao dispositivo corrompido e possivelmente o façam root para assumir o controle direto sobre ele.

De acordo com o comunicado da Lenovo, as três explorações são as seguintes:

• CVE-2017-3748 - Controles de acesso incorretos no componente nac_server podem ser abusados em conjunto com o CVE-2017-3749 e o CVE-2017-3750 para elevar privilégios ao usuário root (geralmente conhecido como 'root' ou "jail jail" a dispositivo)
• CVE-2017-3749 - O aplicativo Idea Friend Android permite o backup e a restauração de dados privados via Android Debug Bridge, que permite violações que levam à escalada de privilégios em conjunto com CVE-2017-3748 e CVE-2017-3750
• CVE-2017-3750 - O aplicativo Lenovo Security Android permite o backup e a restauração de dados privados por meio do Android Debug Bridge, que permite violações que levam à escalada de privilégios em conjunto com o CVE-2017-3748

Obviamente, fazer o root de um telefone claramente não é a pior coisa que pode acontecer com você, ou mesmo com o seu telefone, embora uma parte dos protocolos de segurança do dispositivo provavelmente esteja corrompida. Ainda assim, não devemos esquecer que o acesso físico ao dispositivo é necessário para comprometê-lo totalmente; portanto, o usuário médio da Lenovo provavelmente evitará ser atingido por essas explorações.

Patches estão disponíveis para alguns dispositivos

Além disso, vários telefones que foram atualizados para o Android 6.0 Marshmallow não estão mais vulneráveis a essas explorações, e a Lenovo afirma que os patches já foram disponibilizados para vários modelos, que antes eram vulneráveis.

"A Lenovo não aconselha os usuários finais a fazerem root nos dispositivos, pois isso pode afetar adversamente a segurança e a estabilidade do dispositivo. Os usuários de versões mais antigas do Android (anteriores ao Android 6.0 Marshmallow) são aconselhados a executar as seguintes ações: 1) Se você ativou o menu Opções do desenvolvedor Android no seu dispositivo (incomum), desative o ADB quando não estiver em uso 2) Ative a autenticação da tela de bloqueio mecanismos; por exemplo, proteção por PIN / senha ", explica a empresa.

Os dispositivos que ainda estão vulneráveis às explorações no momento da escrita são:

• A1600
• A2560
• A2800
• A2860
• A2880
• A3000
• A3500
• A3600-d
• A3600u
• A3800-d
• A3900
• A6000
• A6000-I
• A6600
• A6020i37
• A6800
• K30-E
• K30-W-cu
• K32c30
• K80M