Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Уязвимость в приставках Hindotech HK1 TV Box позволяет похищать пароли и переписку

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 04-28-2025, 06:50 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Уязвимость существует из-за ненадлежащего контроля доступа к инструментам отладки.

Команда Sick.Codes обнаружила в приставках смарт ТВ Hindotech HK1 TV Box https://www.securitylab.ru/vulnerability/513056.php , позволяющую злоумышленникам выполнить код с правами суперпользователя и в итоге похитить токены авторизации в соцсети, сохраненные пароли, историю переписки, cookie-файлы, контакты, геолокационные и другие данные.
Уязвимость существует из-за ненадлежащего контроля доступа. По системе оценивания опасности уязвимостей CvSS она получила 9,3 балла из максимальных 10. Уязвимость пока не получила идентификатор CVE.
HK1 Box S905X3 TV Box представляет собой телевизионную приставку под управлением ОС Android, подключающуюся к телевизору и позволяющую смотреть стриминговое видео на YouTube, Netflix и других сервисах без необходимости подключения кабельного телевидения. Кроме того, приставка позволяет пользоваться почтовыми и музыкальными приложениями, а также соцсетями.
Уязвимость позволяет локальному непривилегированному пользователю повышать свои привилегии до суперпользователя. Проблема заключается в отсутствии аутентификации, когда дело доходит до функций отладки приставки, в частности, при подключении к устройству через последовательный порт (UART) или использовании Android Debug Bridge (adb) непривилегированным пользователем.
adb – универсальный инструмент командной строки, позволяющий пользователям взаимодействовать с устройством. Он облегчает выполнение различных действий, таких как установка и отладка приложений, и обеспечивает доступ к оболочке Unix, которую можно использовать для выполнения различных команд на устройстве.
Локальный пользователь, работающий с adb или имеющий физический доступ к приставке через последовательный порт отладки UART, может получить доступ к оболочке в качестве пользователя оболочки без ввода учетных данных. После входа в систему в качестве пользователя оболочки злоумышленник может повысить свои привилегии до суперпользователя с помощью двоичного файла /sbin/su, который является групповым исполняемым файлом (750), или файла /system/xbin/su, исполняемого всеми пользователями (755).
Исследователи попытались связаться с производителем телеприставки, но не получили ответа. В настоящее время уязвимость остается неисправленной.
 

Tags
NULL

« Previous Thread | Next Thread »
Thread Tools
Display Modes
Threaded Mode Threaded Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:28 AM.

Contact Us - Carder.life - Archive - Top