LG, 7 anos vulnerabilidade de segurança ativa finalmente corrigida

Em maio LG lançou uma atualização de segurança corrigindo uma vulnerabilidade que envolveu vĂĄrios modelos de smartphones, conhecido como CVE-2020-12753. A falha estĂĄ presente em muitos smartphones LG produzidos e vendidos nos Ășltimos sete anos, dentro do gerenciador de inicialização (em suma, o primeiro cĂłdigo que Ă© executado quando o dispositivo Ă© ligado) fornecido com eles.

A extensĂŁo da vulnerabilidade pode ser facilmente entendida se vocĂȘ acha que o carregador de inicialização tambĂ©m visa garantir que o firmware e o sistema operacional do smartphone nĂŁo tenham sido comprometidos e inicializados com segurança. Descobrir a falha foi Max Thomas em março passado, que declarou estar presente tambĂ©m no gerenciador de inicialização LG Nexus 5. O pesquisador de segurança divulgou a documentação tĂ©cnica nos Ășltimos dias, onde lemos que o bug estava presente em um pacote grĂĄfico do gerenciador de inicialização, permitindo que um eventual invasor executar cĂłdigo malicioso junto com a reprodução da interface grĂĄfica do prĂłprio gerenciador de inicialização.

A exploração poderia ocorrer em dois casos: quando a bateria do dispositivo se esgotou ou quando o modo de download do carregador de inicialização foi ativado. AlĂ©m disso, o ataque teve que ser realizado com sincronização perfeita para que ele passasse: antes da correção, o invasor precisava cronometrar todo o procedimento e respeitar apenas os horĂĄrios execute seu cĂłdigo assumindo o controle do gerenciador de inicialização e de todo o dispositivo. É claro que, para explorar a falha – crĂ­tica porque garantia acesso completo ao dispositivo – o invasor teria que ter acesso fĂ­sico ao dispositivo (portanto, era aplicĂĄvel a dispositivos perdidos ou roubados).

Os modelos vulnerĂĄveis ​​de smartphones LG usam o chip Qualcomm Secure Execution Environment (QSEE) no firmware EL1 ou EL3 e todos os dispositivos LG que executam o Android 7.2 e superior tĂȘm vulnerabilidade a exploração. O patch da LG para mitigar a falha foi lançado no inĂ­cio de maio.