کمیته رکن چهارم – در تلفنهای هوشمند VIBE لنوو چند آسیبپذیری کشف شده که به یک مهاجم که به دستگاه آسیبپذیر دسترسیِ فیزیکی دارد، امکان ارتقاء امتیازات تا سطح ریشه را میدهد. لنوو در مشاورهنامهی خود گفته است این آسیبپذیری تنها دستگاههایی را تحتِ تأثیر قرار میدهد که در صفحهی قفل آنها، از گذرواژه و یا پین برای محافظت از دستگاه استفاده نمیشود.
با بهرهبرداری از این آسیبپذیر، یک کاربر یا مهاجم محلی میتواند امتیازات خود را تا سطح ریشه ارتقاء دهد و عملکردها و قابلیتها موجود در دستگاه را دستکاری کند. ۳ مورد از آسیبپذیریهایی که کشف شدهاند قابل بهرهبرداری هستند ولی لنوو اعلام کرده دستگاههایی دارای آسیبپذیری ارتقاء به ریشه هستند که از نسخههای ۶ و قبلتر اندروید استفاده میکنند.
اولین آسیبپذیری دارای شناسهی CVE-۲۰۱۷-۳۷۴۸ بوده و به دلیل کنترل دسترسیِ نامناسب در مؤلفهی nac_server بهوجود آمده است. دو آسیبپذیری دیگر با شناسههای CVE-۲۰۱۷-۳۷۴۹ و CVE-۲۰۱۷-۳۷۵۰ اندروید Idea Friend و برنامهی امنیتی لنوو برای اندروید را تحت تأثیر قرار داده است.این برنامهها امکان دستکاری دستگاه را به مهاجم میدهند که از این طریق میتواند امیتازات خود را ارتقاء دهد.
این ۳ آسیبپذیری در ماه می سال ۲۰۱۶ میلادی توسط محققان امنیتی کشف و در همان ماه نیز به شرکت لنوو گزارش شده است. یک محقق امنیتی گفت اینکه به برنامههای با امتیاز بالا این امکان را بدهیم که نسخهی پشتیبان تهیه کنند بسیار مضر بوده و نباید اجازهی چنین کاری داده شود. این برنامه ممکن است دارای آسیبپذیری بوده و مهاجمان از آن برای ارتقاء امتیازات خود استفاده کنند. در نهایت نیز برنامههای کاربردی نباید اجازهی اجرای کد در داخل پروندههای پشتیبان را بدهند.
محققان امنیتی میگویند به دلیل اینکه بهربرداریها حالت زنجیرهای داشته و مهاجم باید بهطور فیزیکی به دستگاه دسترسی داشته باشد، احتمال مشاهدهی این حمله در دنیای واقعی بسیار کم است. با این حال به همهی کاربران توصیه شده تا آخرین نسخه از بستههای شرکت سازنده را بارگیری و نصب کنند و برای قفل دستگاه خود نیز از گذرواژههای مطمئن و قوی استفاده کنند. شرکت لنوو اعلام کرده نزدیک به ۴۰ مدل از دستگاههای این شرکت، تحت تأثیر این آسیبپذیریها قرار گرفتهاند و در حال حاضر برای ۲۰ مدل از آنها هنوز وصلهای منتشر نشده است.
