IBM Flashsystem

LG แพตช์อุตช่องโหว่ของคีย์บอร์ดบน Smartphone

LG ได้แพตช์อุตช่องโหว่ของคีย์บอร์ดที่เป็น Default ของตัว Smartphone โดยช่องโหว่สามารถทำให้เกิด Remote Code Execution ด้วยสิทธิ์ที่ถูกยกระดับได้ นอกจากนี้ LG ยังได้เพิ่มการแก้ไขช่องโหว่ระดับรุนแรงของ Android ของ Google ด้วย

Credit: ShutterStock.com

ช่องโหว่แรก

ปัญหาของช่องโหว่นี้เกิดขึ้นเพราะทางคีย์บอร์ดของ LG รองรับโหมดลายมือด้วยในหลายภาษา แต่เมื่อมีการอัปเดตภาษาใหม่หรือภาษาทีีมีอยู่มันกลับไปเรียกผ่าน HTTP ไปยังเซิร์ฟเวอร์ซึ่งไม่ปลอดภัยทำให้อาจจะถูกโจมตีแบบ Man-in-the-middle ได้

ช่องโหว่ที่สอง

เกิดจากช่องโหว่ในการตรวจเช็คไฟล์คือไฟล์ภายในแพ็กเกจของคีย์บอร์ดสามารถถูกแก้ไขได้ รวมถึงแอปพลิเคชันคีย์บอร์ดสามารถได้รับสิทธิ์เพื่อ Execute ไลบรารี่ .so ใดๆ ที่ถูกดาวน์โหลดมา ดังนั้นเมื่อแฮ็กเกอร์ใช้ช่องโหว่แรกเข้ามาก่อนจากนั้นก็สามารถ inject ไฟล์ปลอมที่ต่อท้ายด้วย .so ให้มันเกิดการ Execute ได้

นอกจากนี้ยังมีผลจาก Checkpoint ว่า “คีย์บอร์ดของ LG จะมีการโหลดไลบรารี่ที่ถูกระบุอยู่ในไฟล์ตั้งค่าที่ชื่อ Engine.properties เมื่อเริ่มใช้งาน โดยไลบรารี่ปลอมของเราภายในไฟล์ Engine.library สามารถถูกโหลดได้เมื่อโปรเซสของคีย์บอร์ดรีสตาร์ท” สำหรับผู้สนใจสามารถติดตามการแพตช์ของทาง LG ได้ที่นี่

ที่มา : https://threatpost.com/severe-keyboard-flaws-in-lg-smartphones-allow-remote-code-execution/131829/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CrowdStrike เปิดตัว Falcon สำหรับตอบสนองเหตุการณ์ความมั่นคงปลอดภัย AWS

CrowdStrike Holdings ได้เปิดตัวบริการตอบสนองต่อเหตุการณ์ใหม่สำหรับลูกค้าของ Amazon Web Services ซึ่งให้การป้องกันทางไซเบอร์โดยใช้แพลตฟอร์มความมั่นคงปลอดภัย CrowdStrike Falcon ในราคาพิเศษผ่าน AWS Marketplace

OpenAI คว้าสัญญามูลค่า 200 ล้านดอลลาร์จากเพนตากอน พิจารณาประยุกต์ใช้ AI ในอุตสาหกรรมกลาโหม

OpenAI เปิดเผยในวันนี้ว่ากำลังทำงานร่วมกับกระทรวงกลาโหมของสหรัฐฯ ในโครงการนำร่องที่จะพัฒนาขีดความสามารถ AI ขั้นสูงสุด (frontier) แต่ยังไม่ได้เปิดเผยรายละเอียดว่าเทคโนโลยีที่พัฒนาขึ้นนั้นคืออะไรโดยเฉพาะ Credit: OpenAI