Lenovo VIBE手机上的本地根目录攻击-联想乐享知识库

Lenovo VIBE手机上的本地根目录攻击 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-15823 潜在影响：权限提升 严重性：中 影响范围：Lenovo 特有的产品 CVE ID：CVE-2017-3748、CVE-2017-3749、CVE-2017-3750 摘要描述： 已发现 Lenovo VIBE 手机上存在若干漏洞，用户或攻击者如果物理持有不受安全锁屏界面（如 PIN/密码）保护的设备，可能可将权限提升到根用户（通常称为“获取设备 root 权限”或“越狱”），从而可用各种方式修改设备的操作和功能。 1. CVE-2017-3748 - 恶意利用 nac_server 组件上的错误访问控制与 CVE-2017-3749 和 CVE-2017-3750 漏洞可将权限提升为根用户（通常称为“获取设备 root 权限”或“越狱”）。 2. CVE-2017-3749 - Idea Friend Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据，结合 CVE-2017-3748 和 CVE-2017-3750 漏洞攻击可导致权限提升。 3. CVE-2017-3750 - Lenovo Security Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据，结合 CVE-2017-3748 漏洞攻击可导致权限提升。解决方案: 应采取哪些措施进行自我保护： Lenovo 不建议最终用户获取设备 root 权限，因为这可能会极大地影响设备的安全性和稳定性。 建议使用 Android 较早版本（早于 Android 6.0 Marshmallow）的用户执行以下操作： 1) 如果设备启用了 Android Developer Options（Android 开发者选项）菜单（不常见），请在不使用时禁用 ADB。 2) 启用锁屏界面认证机制，例如 PIN/密码保护。 产品影响： 已升级到 Android 6.0 Marshmallow 的设备不受影响。运行早于 Android 6.0 操作系统的部分 Lenovo 产品可能会受到根目录攻击的影响。 要确定 Android 设备的操作系统版本，请转到： Settings（设置）> About Phone（关于手机）> Device Information（设备信息）> Android version（Android 版本） 要确定手机的产品型号，请转到： Settings（设置）> About Phone（关于手机）> Device Information（设备信息）> Model number（型号） 要检查手机是否有软件更新可用： Settings（设置）> About Phone（关于手机）> System updates（系统更新） 如果有可用更新，请按照提示进行安装。 以下设备不受影响，因为它们已经升级： A5860 A7010a48 A7020a40 A7020a48 K50-t3s K50-t5 K51c78 K52e78 P1c58 P1c72 X3a40 X3c50 X3c70 Z90-3 Z90-7 以下设备受 Android Lollipop 影响并已打补丁： A2010-a A2010-l A2020a40 A2580 A3580 A3690 A3860 (t-3) A3860 (ts-3) A3890 A3910e70 A3910t30 A5600 A5890 A6020a40 A6020a41 A6020a46 A6020i36 A7600 A7600-m K31-t3-s K32c36 K52t38 K920 P1ma40 S1La40 以下产品受影响且无修复程序可用： A1600 A2560 A2800 A2860 A2880 A3000 A3500 A3600-d A3600u A3800-d A3900 A6000 A6000-I A6600 A6020i37 A6800 K30-E K30-W-cu K32c30 K80M 致谢： Lenovo 谨对来自 Mandiant 的 Jake Valletta 表示感谢。 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。