所属分类 > 病毒与安全 > 漏洞与防护 > Lenovo VIBE手机上的本地根目录攻击

Lenovo VIBE手机上的本地根目录攻击

. 2017-09-30 15:01:14 | 知识编号: 165445

故障现象:

Lenovo 安全公告:LEN-15823


潜在影响:权限提升


严重性


影响范围:Lenovo 特有的产品


CVE ID:CVE-2017-3748、CVE-2017-3749、CVE-2017-3750


摘要描述:


已发现 Lenovo VIBE 手机上存在若干漏洞,用户或攻击者如果物理持有不受安全锁屏界面(如 PIN/密码)保护的设备,可能可将权限提升到根用户(通常称为“获取设备 root 权限”或“越狱”),从而可用各种方式修改设备的操作和功能。


1. CVE-2017-3748 - 恶意利用 nac_server 组件上的错误访问控制与 CVE-2017-3749 和 CVE-2017-3750 漏洞可将权限提升为根用户(通常称为“获取设备 root 权限”或“越狱”)。


2. CVE-2017-3749 - Idea Friend Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据,结合 CVE-2017-3748 和 CVE-2017-3750 漏洞攻击可导致权限提升。


3. CVE-2017-3750 - Lenovo Security Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据,结合 CVE-2017-3748 漏洞攻击可导致权限提升。


解决方案:

应采取哪些措施进行自我保护:


Lenovo 不建议最终用户获取设备 root 权限,因为这可能会极大地影响设备的安全性和稳定性。


建议使用 Android 较早版本(早于 Android 6.0 Marshmallow)的用户执行以下操作:


1) 如果设备启用了 Android Developer Options(Android 开发者选项)菜单(不常见),请在不使用时禁用 ADB。


2) 启用锁屏界面认证机制,例如 PIN/密码保护。


产品影响:


已升级到 Android 6.0 Marshmallow 的设备不受影响。运行早于 Android 6.0 操作系统的部分 Lenovo 产品可能会受到根目录攻击的影响。


要确定 Android 设备的操作系统版本,请转到:


Settings(设置)> About Phone(关于手机)> Device Information(设备信息)> Android version(Android 版本)


要确定手机的产品型号,请转到:


Settings(设置)> About Phone(关于手机)> Device Information(设备信息)> Model number(型号)


要检查手机是否有软件更新可用:


Settings(设置)> About Phone(关于手机)> System updates(系统更新)


如果有可用更新,请按照提示进行安装。


以下设备不受影响,因为它们已经升级:


A5860


A7010a48


A7020a40


A7020a48


K50-t3s


K50-t5


K51c78


K52e78


P1c58


P1c72


X3a40


X3c50


X3c70


Z90-3


Z90-7


以下设备受 Android Lollipop 影响并已打补丁:


A2010-a


A2010-l


A2020a40


A2580


A3580


A3690


A3860 (t-3)


A3860 (ts-3)


A3890


A3910e70


A3910t30


A5600


A5890


A6020a40


A6020a41


A6020a46


A6020i36


A7600


A7600-m


K31-t3-s


K32c36


K52t38


K920


P1ma40


S1La40


以下产品受影响且无修复程序可用:


A1600


A2560


A2800


A2860


A2880


A3000


A3500


A3600-d


A3600u


A3800-d


A3900


A6000


A6000-I


A6600


A6020i37


A6800


K30-E


K30-W-cu


K32c30


K80M


致谢:


Lenovo 谨对来自 Mandiant 的 Jake Valletta 表示感谢。


要获得所有 Lenovo 产品安全公告的完整列表,请单击此处


最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。