Исследовательская группа Check Point Research сообщила об обнаружении двух уязвимостей в предустановленной виртуальной клавиатуре Android-смартфонов LG G4, LG G5 и LG G6. Выявленные бреши получили статус критических и могли быть использованы злоумышленниками для удалённого выполнения вредоносного кода с повышенными привилегиями на мобильных устройствах, перехвата набираемых пользователем на клавиатуре данных и получения доступа к конфиденциальной информации.
В опубликованном экспертами Check Point Research отчёте уточняется, что первая ошибка безопасности связана с функцией настройки языков в клавиатуре. Оказалось, что для добавления или обновления языковых пакетов смартфон подключается к внешнему серверу по незащищённому HTTP-соединению, через которое можно было провести атаку типа «человек посередине» (Man-in-the-middle, MITM) и осуществить загрузку на устройство вредоносного файла вместо легитимного языкового обновления.
Вторая уязвимость касается местоположения языкового файла. С помощью механизма «обход каталога» киберпреступник мог изменить его расширение и внедрить злонамеренный код в конфигурационный файл клавиатуры LG.
Сообщается, что сведения о найденных «дырах» были оперативно донесены до соответствующих служб компании LG, которая уже подготовила патч с майским обновлением безопасности. Специалисты по информационной безопасности советуют владельцам упомянутых моделей мобильных устройств не затягивать с установкой выпущенного апдейта.
Более подробную информацию об обнаруженных уязвимостях можно найти на странице research.checkpoint.com/lg-keyboard-vulnerabilities.
Источник: 3DNews