Уязвимость в BlackBerry Z10 позволяла обойти аутентификацию

Как  сообщили  эксперты из ModZero, флагманский смартфон компании BlackBerry - BlackBerry Z10 содержит уязвимость, позволяющую обойти аутентификацию. Эксплуатируя брешь, злоумышленник мог удаленно получить доступ к конфиденциальным данным и установить на устройство вредоносное ПО.

Уязвимость затрагивает сетевой сервис, позволяющий обмениваться файлами и хранить коммуникации между телефоном и сетевым клиентом. Активация функции доступа к хранящимся в облаке файлам через Wi-Fi (для этого необходимо выбрать на смартфоне опцию «доступ с помощью Wi-Fi») позволяет злоумышленнику осуществлять вредоносную деятельность.

Для получения доступа к серверу, на котором хранятся файлы, Z10 просит пользователя ввести пароль. Тем не менее, сам сервер пароль не требует, благодаря чему не прошедший аутентификацию злоумышленник может читать и редактировать документы, которыми обмениваются пользователи. По словам экспертов, так происходит далеко не всегда, однако в одном из десяти случаев обойти аутентификацию возможно.

Существует два способа эксплуатации этой уязвимости. Первый из них предполагает получение доступа к файловому серверу через LAN-интерфейс без использования режима разработчика. Согласно второму варианту, доступ осуществляется через USB-кабель. При этом должен быть активирован режим разработчика для коммуникаций через TCP/IP.

Причина уязвимости неизвестна. Эксперты сообщили о ней BlackBerry, и компания уже выпустила патч.

Подробнее ознакомиться с уязвимостью можно по адресу:  http://www.securitylab.ru/vulnerability/456548.php