LG แพตช์อุตช่องโหว่ของคีย์บอร์ดบน Smartphone

LG ได้แพตช์อุตช่องโหว่ของคีย์บอร์ดที่เป็น Default ของตัว Smartphone โดยช่องโหว่สามารถทำให้เกิด Remote Code Execution ด้วยสิทธิ์ที่ถูกยกระดับได้ นอกจากนี้ LG ยังได้เพิ่มการแก้ไขช่องโหว่ระดับรุนแรงของ Android ของ Google ด้วย

Credit: ShutterStock.com

ช่องโหว่แรก

ปัญหาของช่องโหว่นี้เกิดขึ้นเพราะทางคีย์บอร์ดของ LG รองรับโหมดลายมือด้วยในหลายภาษา แต่เมื่อมีการอัปเดตภาษาใหม่หรือภาษาทีีมีอยู่มันกลับไปเรียกผ่าน HTTP ไปยังเซิร์ฟเวอร์ซึ่งไม่ปลอดภัยทำให้อาจจะถูกโจมตีแบบ Man-in-the-middle ได้

ช่องโหว่ที่สอง

เกิดจากช่องโหว่ในการตรวจเช็คไฟล์คือไฟล์ภายในแพ็กเกจของคีย์บอร์ดสามารถถูกแก้ไขได้ รวมถึงแอปพลิเคชันคีย์บอร์ดสามารถได้รับสิทธิ์เพื่อ Execute ไลบรารี่ .so ใดๆ ที่ถูกดาวน์โหลดมา ดังนั้นเมื่อแฮ็กเกอร์ใช้ช่องโหว่แรกเข้ามาก่อนจากนั้นก็สามารถ inject ไฟล์ปลอมที่ต่อท้ายด้วย .so ให้มันเกิดการ Execute ได้

นอกจากนี้ยังมีผลจาก Checkpoint ว่า “คีย์บอร์ดของ LG จะมีการโหลดไลบรารี่ที่ถูกระบุอยู่ในไฟล์ตั้งค่าที่ชื่อ Engine.properties เมื่อเริ่มใช้งาน โดยไลบรารี่ปลอมของเราภายในไฟล์ Engine.library สามารถถูกโหลดได้เมื่อโปรเซสของคีย์บอร์ดรีสตาร์ท” สำหรับผู้สนใจสามารถติดตามการแพตช์ของทาง LG ได้ที่นี่

ที่มา : https://threatpost.com/severe-keyboard-flaws-in-lg-smartphones-allow-remote-code-execution/131829/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …