LG แพตช์อุตช่องโหว่ของคีย์บอร์ดบน Smartphone

LG ได้แพตช์อุตช่องโหว่ของคีย์บอร์ดที่เป็น Default ของตัว Smartphone โดยช่องโหว่สามารถทำให้เกิด Remote Code Execution ด้วยสิทธิ์ที่ถูกยกระดับได้ นอกจากนี้ LG ยังได้เพิ่มการแก้ไขช่องโหว่ระดับรุนแรงของ Android ของ Google ด้วย

Credit: ShutterStock.com

ช่องโหว่แรก

ปัญหาของช่องโหว่นี้เกิดขึ้นเพราะทางคีย์บอร์ดของ LG รองรับโหมดลายมือด้วยในหลายภาษา แต่เมื่อมีการอัปเดตภาษาใหม่หรือภาษาทีีมีอยู่มันกลับไปเรียกผ่าน HTTP ไปยังเซิร์ฟเวอร์ซึ่งไม่ปลอดภัยทำให้อาจจะถูกโจมตีแบบ Man-in-the-middle ได้

ช่องโหว่ที่สอง

เกิดจากช่องโหว่ในการตรวจเช็คไฟล์คือไฟล์ภายในแพ็กเกจของคีย์บอร์ดสามารถถูกแก้ไขได้ รวมถึงแอปพลิเคชันคีย์บอร์ดสามารถได้รับสิทธิ์เพื่อ Execute ไลบรารี่ .so ใดๆ ที่ถูกดาวน์โหลดมา ดังนั้นเมื่อแฮ็กเกอร์ใช้ช่องโหว่แรกเข้ามาก่อนจากนั้นก็สามารถ inject ไฟล์ปลอมที่ต่อท้ายด้วย .so ให้มันเกิดการ Execute ได้

นอกจากนี้ยังมีผลจาก Checkpoint ว่า “คีย์บอร์ดของ LG จะมีการโหลดไลบรารี่ที่ถูกระบุอยู่ในไฟล์ตั้งค่าที่ชื่อ Engine.properties เมื่อเริ่มใช้งาน โดยไลบรารี่ปลอมของเราภายในไฟล์ Engine.library สามารถถูกโหลดได้เมื่อโปรเซสของคีย์บอร์ดรีสตาร์ท” สำหรับผู้สนใจสามารถติดตามการแพตช์ของทาง LG ได้ที่นี่

ที่มา : https://threatpost.com/severe-keyboard-flaws-in-lg-smartphones-allow-remote-code-execution/131829/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนมัลแวร์ Roaming Mantis เริ่มพุ่งเป้า Apple iOS และ PC ทั่วโลก

หลังจากที่ Roaming Mantis ซึ่งเป็นมัลแวร์ DNS Hijacking เริ่มแพร่ระบาดเมื่อปลายเดือนเมษายนที่ผ่านมา โดยพุ่งเป้าอุปกรณ์ Android ในเขตภูมิภาคเอเชียตะวันออกเฉียงใต้ ล่าสุดพบว่าแฮ็กเกอร์เบื้องหลังมัลแวร์ได้ทำการอัปเกรดให้สามารถโจมตีอุปกรณ์ Apple iOS และ Desktop …

M.Tech กลับมาขาย Citrix อีกครั้ง เตรียมดัน NetScaler ตอบโจทย์ Multi-Cloud สำหรับองค์กร

เมื่อต้นปี 2018 ที่ผ่านมา ทาง M.Tech และ Citrix ได้ประกาศความเป็นพันธมิตรร่วมกันอีกครั้งหนึ่ง ให้ M.Tech ได้กลับมาเป็น Distributor ให้กับ Citrix และผลักดันตลาดของ …