Исследовательская группа Check Point Research обнаружила две уязвимости в предустановленной виртуальной клавиатуре флагманских смартфонов LG. Это касается флагманских устройств LG G4, LG G5 и LG G6.
Обнаруженные уязвимости могли быть использованы для удаленного выполнения кода с повышенными привилегиями на мобильных устройствах LG. С их помощью можно было эксплуатировать процессы обновления клавиатуры, использовать клавиатурного шпиона (keylogger), тем самым получать доступ к конфиденциальным пользовательским данным.
Первая ошибка безопасности связана с функцией рукописного текста. Оказалось, что для обновления языка интерфейса устройство подключается к внешнему серверу по незащищённому HTTP-соединению, через которое можно было провести атаку типа «Человек посередине» (Man-in-the-middle, MITM). Подобная атака позволяет загрузить на смартфон вредоносный файл вместо легитимного языкового обновления.
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Вторая уязвимость касается местоположения языкового файла. С помощью механизма «обход каталога» хакер мог изменить расширение файла и внедрить вредоносное ПО в конфигурационный файл каталога клавиатуры LG.
Исследователи Check Point оперативно сообщили о найденных уязвимостях компании LG, которая выпустила вчера патч с майским обновлением безопасности. Компания объединила обнаруженные уязвимости в одну — LVE-SMP-170025 и настоятельно рекомендует обновить ОС смартфонов серии G (G5, G6), серии V (Q10, Q10, V8), серии X (X300, X400, X500).
Ранее специалисты Check Point сообщали об обнаруженной уязвимости HomeHack, благодаря которой хакеры могли дистанционно управлять домашними устройствами SmartThinkQ. Уязвимости в мобильном и облачном приложениях LG SmartThinkQ позволяли удаленно войти в облачное приложение SmartThinQ, и, завладев учетной записью LG, получить контроль над пылесосом и встроенной в него видеокамерой.
У мережі з'явилися подробиці квітневого галасу з приводу масового злому пристроїв Apple за допомогою Pegasus-подібного…
На хвилі хайпа навколо «смартфонозамінників майбутнього» — невеликих пристроїв з нейромережами, керованими голосом — дизайнери…
Ми живемо в епоху розвитку нейромереж — комп'ютерні системи реально починають думати практично так, як…
Сучасна технологія eSIM спрощує процес підключення до мобільного зв'язку та відкриває нові можливості для різних…
Над проектом 6G-пристрою одночасно працювали такі компанії, як NEC Corporation, Fujitsu, DOCOMO та NTT. На…
Перше, на що звернуло увагу джерело, так це на те, що Xiaomi 15 Pro отримає…