LG แพตช์อุตช่องโหว่ของคีย์บอร์ดบน Smartphone

LG ได้แพตช์อุตช่องโหว่ของคีย์บอร์ดที่เป็น Default ของตัว Smartphone โดยช่องโหว่สามารถทำให้เกิด Remote Code Execution ด้วยสิทธิ์ที่ถูกยกระดับได้ นอกจากนี้ LG ยังได้เพิ่มการแก้ไขช่องโหว่ระดับรุนแรงของ Android ของ Google ด้วย

Credit: ShutterStock.com

ช่องโหว่แรก

ปัญหาของช่องโหว่นี้เกิดขึ้นเพราะทางคีย์บอร์ดของ LG รองรับโหมดลายมือด้วยในหลายภาษา แต่เมื่อมีการอัปเดตภาษาใหม่หรือภาษาทีีมีอยู่มันกลับไปเรียกผ่าน HTTP ไปยังเซิร์ฟเวอร์ซึ่งไม่ปลอดภัยทำให้อาจจะถูกโจมตีแบบ Man-in-the-middle ได้

ช่องโหว่ที่สอง

เกิดจากช่องโหว่ในการตรวจเช็คไฟล์คือไฟล์ภายในแพ็กเกจของคีย์บอร์ดสามารถถูกแก้ไขได้ รวมถึงแอปพลิเคชันคีย์บอร์ดสามารถได้รับสิทธิ์เพื่อ Execute ไลบรารี่ .so ใดๆ ที่ถูกดาวน์โหลดมา ดังนั้นเมื่อแฮ็กเกอร์ใช้ช่องโหว่แรกเข้ามาก่อนจากนั้นก็สามารถ inject ไฟล์ปลอมที่ต่อท้ายด้วย .so ให้มันเกิดการ Execute ได้

นอกจากนี้ยังมีผลจาก Checkpoint ว่า “คีย์บอร์ดของ LG จะมีการโหลดไลบรารี่ที่ถูกระบุอยู่ในไฟล์ตั้งค่าที่ชื่อ Engine.properties เมื่อเริ่มใช้งาน โดยไลบรารี่ปลอมของเราภายในไฟล์ Engine.library สามารถถูกโหลดได้เมื่อโปรเซสของคีย์บอร์ดรีสตาร์ท” สำหรับผู้สนใจสามารถติดตามการแพตช์ของทาง LG ได้ที่นี่

ที่มา : https://threatpost.com/severe-keyboard-flaws-in-lg-smartphones-allow-remote-code-execution/131829/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Salesforce นำเสนอโซลูชั่น AI ใหม่ล่าสุด ต่อยอดนวัตกรรมเพื่อยกระดับ Customer Experience ให้ธุรกิจทั่วโลก [Guest Post]

กรุงเทพฯ, ประเทศไทย, 8 มิถุนายน 2566 – เมื่อเร็ว ๆ นี้ Salesforce (เซลส์ฟอร์ซ) ประกาศเปิดตัวนวัตกรรม AI ล่าสุดหลายรายการสำหรับ Data …

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย