Expertos en seguridad están apremiando a los clientes de Lenovo a actualizar sus tabletas y celulares Android para protegerse de varias vulnerabilidades críticas que afectan a decenas de millones de dispositivos Lenovo.

El 5 de octubre Lenovo publicó discretamente cuatro parches para todas sus tabletas Android, sus teléfonos Vibe y Zuk y los celulares Moto M (XT1663) y Moto E3 (XT1706).

Según Imre Rad, el investigador independiente de seguridad que identificó los errores, las vulnerabilidades están asociadas con Lenovo Service Framework (LSF), una aplicación Android de la que se sirven muchas otras aplicaciones Android y que es exclusiva de los dispositivos Lenovo.

Según la descripción de Lenovo, el LSF se usa para recibir notificaciones push desde servidores de Lenovo tales como promociones de productos para apps, noticias, avisos, encuestas y también para facilitar reparaciones de emergencia de apps y actualizaciones necesarias.

Sin embargo, Rad descubrió que los atacantes también podrían aprovechar LSF para facilitar la descarga de código en los dispositivos desde un servidor arbitrario, para después ejecutarlo. Las cuatro vulnerabilidades encontradas por Rad son:

  • CVE-2017-3758 – Controles de acceso insuficientes en varios componentes Android dela aplicación LSF, que se podrían aprovechar para habilitar la ejecución remota de código.
  • CVE-2017-3759 – La aplicación Android LSF acepta algunas respuestas del servidor sin la validación adecuada. Esto expone la aplicación a ataques de tipo “Man in the middle”, haciendo posible la ejecución de código remoto.
  • CVE-2017-3760 – La aplicación Android LSF usa un conjunto de credenciales inseguras cuando realiza comprobaciones de integridad de aplicaciones o datos descargados. Esto expone la aplicación a ataques de tipo “Man in the middle”, haciendo posible la ejecución de código remoto.
  • CVE-2017-3761 – La aplicación Android LSF ejecuta algunos comandos del sistema sin un saneamiento adecuado de la entrada externa. En algunos casos, esto podría permitir la inyección de código, que a su vez, permitiría la ejecución remota de código.
  • “Aunque algunos dispositivos se vieron afectados, los errores ya se han parchado y las actualizaciones están disponibles de forma automática y manual tal como se indica en el Security Advisory”, informó Lenovo a Threatpost.

Cuando se le preguntó, Lenovo no respondió a qué porcentaje de sus más de 20 millones de tabletas Android vendidas desde el 2015, según el IDC, se han aplicado los parches. Pero dijo que todos sus teléfonos han recibido los parches. “Nos tomamos todas las vulnerabilidades seriamente. Los parches que las corrigen están terminados y disponibles”, dijo un portavoz

Lenovo dijo que no le constaba que ninguna de las vulnerabilidades se estuviera aprovechando en el ciberespacio.

“Las acciones disponibles para los atacantes incluyen cambiar configuraciones del sistema, ejecutar comandos del shell o instalar paquetes adicionales. Los agentes maliciosos podrían aprovecharse del LSF para introducir persistentemente componentes de código en partes de la memoria flash de tal manera que la única forma de quitarlo sería restablecer los ajustes preconfigurados,” dijo Rad.

En el caso del CVE-2017-3760, el investigador descubrió que la aplicación LSF obtenía nuevos mensajes de sistema desde servicios web remotos. Aunque la comunicación se efectuaba por un canal HTTP no cifrado, las respuestas del servidor estaban protegidas por una clave privada RSA.

“El problema es que la clave privada RSA del par público que se usaba para la comprobación de la firma, se podía encontrar en Internet como parte de una aplicación de ejemplo de una biblioteca de software”, según sus investigaciones. Esto podría permitir a un adversario en una red insegura (un punto de acceso WI-FI no autorizado o una red GSM) aprovechar un ataque de tipo “Man in the Middle” interceptar la conexión mediante un mensaje de sondeo malicioso. “Podrían en efecto tomar el control del celular (o del dispositivo Android Lenovo) remotamente”, añadió.

Dijo Rad que las vulnerabilidades se descubrieron el 10 de mayo y que la primera notificación a Lenovo de los errores se hizo el 14 de mayo. Diez días después, Lenovo confirmó las vulnerabilidades, con una notificación pública coordinada que tuvo lugar el 5 de octubre.

Fuente: Threatpost

Compartir