Lỗ hổng trên điện thoại thông minh Lenovo

Linh Anh| 07/07/2017 09:43
Theo dõi ICTVietnam trên

Điện thoại thông minh Lenovo VIBE đã có một số lỗ hổng có thể cho phép tin tặc chiếm quyền truy nhập gốc (root).thông qua truy cập vật lý vào thiết bị.

Lenovo cho biết, các lỗ hổng chỉ ảnh hưởng tới các thiết bị không dùng khóa bảo vệ màn hình như PIN hoặc mật khẩu. Bằng việc khai thác các lỗi này, tin tặc hoặc người sử dụng bình thường có thể khai thác quyền truy nhập gốc và “sửa đổi hoạt động, tính năng của thiết bị bằng vô số cách”. Có tổng số ba lỗ hổng đã được phát hiện, nhưng Lenovo cho biết chỉ những thiết bị chạy phiên bản Android 6.0 trở về trước mới có thể bị khai thác quyền truy nhập gốc.

Lỗ hổng đầu tiên là CVE-2017-3748 được tạo ra bởi những điều khiển truy nhập không hợp pháp trên thành phần nac_server. Hai lỗ hổng còn lại là CVE-2017-3749 và CVE-2017-3750, ảnh hưởng đến các ứng dụng Idea Friend Android và Lenovo Security Android. Hai lỗ hổng này cho phép “sao lưu và khôi phục dữ liệu cá nhân qua Android DebugBridge (công cụ sửa Android)”, ứng dụng này cũng cho phép “giả mạo để leo thang quyền”.

Ba lỗ hổng được nhóm Team Red của Mandiant phát hiện và báo cáo vào tháng 5/2016. Nhà nghiên cứu Jake Valletta của nhóm Red Team cho biết, trong hồ sơ điện thoại di động của Lenovo, Motorola đã xử lý các lỗ hổng bằng việc thiết kế lại “cơ chế bị ảnh hưởng để sử dụng một tiến trình an toàn hơn”.

 “Việc cho phép sao lưu trên các ứng dụng có đặc quyền có thể gây ra thiệt hại và là điều không được phép. Bởi vì rằng một ứng dụng không chạy trong vai một ID người dùng Android có các đặc quyền, chẳng hạn như ‘android.uid.system’ thì không có nghĩa là ứng dụng đó không thể đưa các lỗ hổng vào và được sử dụng để leo thang các quyền. Cuối cùng, các ứng dụng không bao giờ cho phép mã có khả năng thực thi (các lớp Java, các nhị phân ELF hay các đối tượng chia sẻ) trong sao lưu. Điều này có thể hạn chế bằng việc sử dụng một BackupAgent”, Valletta lưu ý.

Do chuỗi khai thác lỗi đòi hỏi truy nhập vật lý và tại chỗ tới thiết bị nên “rất khó để thấy được sự khai thác này”, nhà nghiên cứu cho biết. Tuy nhiên, người dùng nên cập nhật các gói phần mềm mà các nhà sản suất đã phát hành gần nhất của cũng như thiết lập khóa màn hình mạnh để đảm bảo thiết bị của mình được bảo vệ.

Tổng cộng có hơn 40 mẫu điện thoại Lenovo dường như bị ảnh hưởng bởi các lỗ hổng này và Lenovo cho biết chưa có bản vá cho 20 mẫu trong số đó (15 mẫu khác không bị ảnh hưởng đã được cập nhật). Theo đó, Lenovo đưa ra một danh sách các smartphone có những liên quan như:

Những thiết bị không bị ảnh hưởng đã được nâng cấp: A5860; A7010a48; A7020a40; A7020a48; K50-t3s; K50-t5; K51c78; K52e78; P1c58; P1c72; X3a40; X3c50; X3c70; Z90-3; Z90-7;

Những thiết bị bị ảnh hưởng trên Android Lollipop đã có bản vá: A2010-a; A2010-l; A2020a40; A2580; A3580; A3690; A3860(t-3); A3860(ts-3); A3890; A3910e70; A3910t30; A5600; A5890; A6020a40; A6020a41; A6020a46; A6020i36; A7600; A7600-m; K31-t3-s; K32c36; K52t38; K920; P1ma40; S1La40;

Những thiết bị bị ảnh hưởng nhưng chưa có bản vá: A1600; A2560; A2800; A2860; A2880; A3000; A3500; A3600-d; A3600u; A3800-d; A3900; A6000; 6000-; A6600; A6020i37; A6800; K30-E; K30-W-cu; K32c30; K80M.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Tập đoàn VNPT tăng trưởng 7% năm 2024
    Năm 2024, mặc dù thị trường viễn thông - công nghệ thông tin gặp khá nhiều khó khăn, song với nhiều nỗ lực và quyết tâm cao, Tập đoàn VNPT vẫn giữ vững thị phần với các dịch vụ trọng điểm, tối ưu chi phí, để doanh thu, lợi nhuận toàn Tập đoàn được duy trì và tăng trưởng so với cùng kỳ.
  • Hướng tới vinh danh các "Sản phẩm công nghệ số Make in Viet Nam” 2024
    Giải thưởng "Sản phẩm công nghệ số Make in Viet Nam" là giải thưởng vinh danh những sản phẩm, giải pháp, nền tảng xuất sắc, tiêu biểu, thể hiện năng lực của doanh nghiệp Việt và người Việt trong việc làm chủ về công nghệ, chủ động thiết kế, chế tạo các sản phẩm công nghệ số.
  • 5,5 tỷ người trên thế giới sử dụng Internet
    Theo báo cáo mang tên “Thực tế và Con số 2024” của Liên minh Viễn thông Quốc tế (ITU), năm 2024 đã có thêm 227 triệu người được tiếp cận Internet, nâng tổng số người sử dụng Internet lên 5,5 tỷ người, chiếm 68% dân số toàn cầu.
  • Bưu điện hợp tác với công ty hàng đầu Hàn Quốc về công nghệ, sàn giao dịch dữ liệu
    Tổng công ty Bưu điện Việt Nam (Vietnam Post) và Công ty DataStreams Corp (DataStreams) hợp tác trong lĩnh vực công nghệ dữ liệu nhằm khai thác sức mạnh dữ liệu để nâng cao hiệu quả hoạt động, tăng cường năng lực cạnh tranh và mang lại giá trị gia tăng cho khách hàng.
  • Chấn chỉnh, đảm bảo hoạt động bán hàng đa cấp diễn ra trong khuôn khổ pháp luật
    Các hoạt động bán hàng đa cấp ngày càng biến tướng ti vi dưới nhiều hình thức. Đây là lĩnh vực kinh doanh nhạy cảm, dễ bị biến tướng thành các hoạt động lừa đảo, huy động tài chính bất hợp pháp, gây hệ lụy xấu trên quy mô lớn cho xã hội.
Đừng bỏ lỡ
Lỗ hổng trên điện thoại thông minh Lenovo
POWERED BY ONECMS - A PRODUCT OF NEKO