Silenciosamente, a Lenovo (proprietária da Motorola) está liberando um pacote de atualização de segurança para tablets e smartphones em seu portfólio. De acordo com especialistas de segurança consultados pelo ThreatPost, as vulnerabilidades são graves e impactam milhões de usuários de dispositivos da Lenovo e Motorola.
O pacote de atualização vem sendo lançado desde o dia 5 de outubro, mas não houve um trabalho de conscientização maior comentando a necessidade de uma rápida atualização. Porém, bugs identificados pelo pesquisador Imre Rad foram encontrados no Lenovo Service Framework (LSF), uma aplicação de Android usada por outros apps e exclusiva para celulares e tablets da marca.
No Brasil, usuários da linha Vibe seriam os mais afetados
Segundo o pesquisador, as vulnerabilidades críticas afetam todos os tablets da Lenovo, além de celulares Vibe e Zuk. Modelos da Motorola também foram afetados: Moto M (XT1663) e Moto E3 (XT1706).
Enquanto os aparelhos citados sob a marca da Motorola não são vendidos oficialmente no Brasil — é possível adquiri-los via importadoras —, a Lenovo possui a linha Vibe por aqui.
O Lenovo Service Framework (LSF) é um framework utilizado para levar notificações push para os servidores da companhia; e isso inclui: notícias, pesquisas, detalhes de apps, reparos de emergência e atualizações de sistema.
Controle total por hackers
De acordo com o pesquisador, cibercriminosos podem utilizar o LSF para executar códigos remotos nos aparelhos. "As ações disponíveis para invasores incluem: alteração das configurações do sistema, execução de comandos de shell ou instalação de pacotes adicionais. Atores maliciosos também podem abusar do LSF para implantar componentes de código persistentemente em partes da memória flash de modo que o único método de remoção seja o reset de fábrica", disse Rad. Tudo isso significa uma coisa: perder os dados.
- As quatro vulnerabilidades encontradas são: CVE-2017-3758, CVE-2017-3759, CVE-2017-3760 e CVE-2017-3761
Confira se a última atualização é recente, do contrário, faça o trabalho manualmente
A Lenovo disse ao ThreatPost que "apenas alguns dispositivos foram afetados e as atualizações de segurança específicas estão disponíveis automaticamente e manualmente". Apesar disso, a empresa não comentou a porcentagem de tablets e celulares afetados.
Caso você tenha um aparelho da Lenovo — ou um dos dois modelos citados da Motorola —, confira se o último pacote de atualização está instalado. Do contrário, faça o trabalho manualmente em "Configurações", "Sobre o aparelho" e "Centro de Atualização".
Fontes
Categorias