Компания LG выпустила обновления безопасности, устраняющие две опасные уязвимости, позволяющие выполнить произвольный код и записать нажатия клавиш, похитить учетные данные и другую конфиденциальную информацию.
Уязвимости затрагивают виртуальную клавиатуру LG IME, поставляемую в составе всех современных моделей смартфонов производителя. Исследователям из компании Check Point удалось воспроизвести и проэксплуатировать проблемы на устройствах LG G4, G5 и G6. Атакующий может проэксплуатировать уязвимости и выполнить произвольный код с повышенными привилегиями путем манипулирования процессом обновления виртуальной клавиатуры, в частности функции MyScript.
Первая уязвимость связана с механизмом установки новых языковых пакетов или обновления уже существующих. Необходимые файлы передаются на устройство с сервера по незащищенному HTTP-соединению, что создает возможность для атаки посредника («человек посередине») и замены легитимного обновления вредоносным.
Вторая проблема представляет собой уязвимость типа «обход каталога» (path traversal) и может быть проэксплуатирована атакующим в положении «человек посередине» для внедрения вредоносной библиотеки в конфигурационный файл приложения клавиатуры. Вредоносное ПО загрузится при перезапуске клавиатуры.
По словам производителя, вышеописанные уязвимости затрагивают только функцию MyScript.

Источник: securitylab.ru