Хакеры научились взламывать смартфоны и планшеты через замену экрана

Хакеры научились взламывать смартфоны и планшеты через замену экрана

Сенсорные экраны и другие компоненты, часто заменяемые в смартфонах и планшетах, могут скрыть вредоносные чипы, способные предоставить злоумышленникам полный контроль над устройством.

Исследователи провели эксперименты на двух устройствах Android: смартфоне Huawei Nexus 6P, который использует сенсорный контроллер Synaptics и планшете LG G Pad 7.0, использующем контроллер Atmel. Однако эксперты убеждены, что другие устройства, в том числе от Apple, также уязвимы для этих типов атак.

В своих тестах исследователи использовали пистолет с горячим воздухом для отделения контроллера сенсорного экрана от основной платы и доступа к медным падам. Затем они подключили пады к интегрированному чипу, который манипулирует коммуникационной шиной, эффективно осуществляя атаку «Человек посередине». В экспериментах использовались микроконтроллеры STM32L432 и Arduino, стоимость которых составляет около $10.

Вредоносный чип может использовать уязвимости в драйвере устройства для компрометации телефона или планшета. Эксперты опубликовали подробное видео, в котором показан весь процесс получения полного контроля над атакуемым устройством.

Вся атака занимает примерно 65 секунд.

Сенсорные экраны и другие компоненты, часто заменяемые в смартфонах и планшетах, могут скрыть вредоносные чипы, способные предоставить злоумышленникам полный контроль над устройством.

" />

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В jQuery обнаружена набирающая обороты новая уязвимость

Разработчики популярной JavaScript-библиотеки jQuery выпустили очередное обновление безопасности, устраняющее довольно редкую уязвимость, которая только набирает обороты. Напомним, что jQuery установлена приблизительно на 74% сайтов в интернете.

Уязвимость, о которой пойдет речь, получила условное название «prototype pollution». Эксперты только начинают изучать данную брешь, обнаруживая ее все в большем количестве библиотек JavaScript.

Исходя из имени уязвимости, можно сделать вывод, что она предполагает возможность модификации объекта JavaScript, который называется «prototype».

Prototype определяет структуру объекта JavaScript и значений по умолчанию. Это делается для того, чтобы избежать сбоя приложения, если никаких значений не установлено.

Если у атакующего есть возможность модифицировать prototype, он может получить контроль над тем, как данные обрабатываются самим приложением. Таким образом, открывается возможность для совершения атак другого порядка — DoS или выполнения произвольного кода.

В настоящее время эксперты в области кибербезопасности оценивают «prototype pollution» как растущую угрозу для JavaScript. На наличие этой проблемы в jQuery обратили внимание эксперты компании Snyk, занимающейся сканированием исходного кода на уязвимости.

Брешь получила идентификатор CVE-2019-11358, код эксплойта в настоящий момент доступен на GitHub.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru