Компания Lenovo без лишнего шума выпустила патч, исправляющий ряд уязвимостей, позволяющих удаленному злоумышленнику осуществить MitM-атаку и выполнить произвольный код. Уязвимости затрагивают все планшеты Lenovo под управлением ОС Android, а также смартфоны модели Vibe, Zuk, Moto M (XT1663) и Moto E3 (XT1706).

Уязвимости связаны с эксклюзивным для устройств Lenovo приложением Lenovo Service Framework (LSF). Оно используется для получения push-уведомлений с серверов Lenovo, таких как сообщения о промо-акциях, новостях, опросах, а также для обновления приложений в случае необходимости.

Однако исследователь безопасности Имре Рад обнаружил, что LSF также может эксплуатироваться злоумышленниками для загрузки и выполнения произвольного кода с удаленного сервера. В общей сложности исследователь обнаружил 4 уязвимости:

-CVE-2017-3758 - некорректные настройки доступа в нескольких компонентах Android в приложении LSF. Уязвимость позволяет удаленно выполнить код.

-CVE-2017-3759 – отсутствие проверки ответов с сервера. Уязвимость позволяет осуществить атаку «человек посередине» (MitM) и удаленно выполнить код.

-CVE-2017-3760 – приложение использует незащищенные учетные данные при проверке целостности загруженных приложений и/или данных. Таким образом злоумышленник может осуществить атаку «человек посередине» (MitM) и удаленно выполнить код.

-CVE-2017-3761 - приложение LSF выполняет некоторые системные команды без надлежащей очистки внешнего ввода. В некоторых случаях это может привести к внедрению команд и удаленному выполнению кода.

По словам исследователя, злоумышленники могут изменить системные настройки, выполнить произвольные shell-команды и установить вредоносные пакеты. В случае CVE-2017-3760 приложение получало системные сообщения с удаленного web-сервиса. Хотя сообщение передавалось по незащищенному HTTP-каналу, ответы сервера шифровались с помощью закрытого ключа RSA. Проблема заключается в том, что ключ RSA, использующийся для проверки подписи, можно найти в интернете как часть демонстрационного приложения библиотеки программного обеспечения.

Таким образом злоумышленник с доступом к недоверенной сети ("левой" точке доступа Wi-Fi или сети GSM) может осуществить MitM-атаку, перехватить подключение и получить полный контроль над устройством.

По словам представителей Lenovo, патчи, исправляющие данные уязвимости уже доступны для скачивания. На данный момент нет свидетельств активной эксплуатации уязвимостей злоумышленниками. В компании не сообщили точное количество затронутых устройств. Согласно IDC, с 2015 года Lenovo продала более 20 млн планшетов.