El investigador Justin Case, ha publicado recientemente una nueva herramienta para poder 'rootear' terminales Android de la firma taiwanesa LG, basándose en una vulnerabilidad del software pre instalado en todos los modelos afectados.
Detalles del exploit
- La herramienta publicada, denominada LGpwn, se aprovecha de una vulnerabilidad presente en el software que trae de serie el firmware oficial de LG, 'Sprite Backup' de la firma Sprite Software.
- La utilidad de backup presenta una condición de carrera (CVE-2013-3685) que permitiría ejecutar código arbitrario de manera local y según el escenario, sin que el usuario perciba su ejecución.
Versiones afectadas
Las versiones afectadas serían la 2.5.4105 de Sprite Backup o aquellas que contengan el demonio 'spritebud' versión 1.3.24 y anteriores.
Modelos afectados:
- Los modelos hasta ahora afectados (más de 40 modelos diferentes), pertenecerían a las siguientes familias de LG:
- Lollipop, Mach, Optimus 3D Cube, Optimus 4X HD, Optimus F5, Optimus G, Optimus G Pro, Optimus L7, Optimus L9, Optimus LTE 2, Optimus LTE 3, Optimus LTE Tag, Optimus Vu, Optimus Vu 2, Prada, Prada 3.0
Situación actual contramedidas:
Tanto LG como el fabricante Sprite Software están trabajando en una nueva actualización de su firmware y herramienta respectivamente, que estará disponible próximamente.
Más información
- LGPwn - LG Root Exploit https://github.com/CunningLogic/LGPwn
- LGpwn APK http://t.co/xzHqNKWvdI
- Another LG Root exploit https://plus.google.com/110348415484169880343/posts/Me2yea2PgwE
Fuente: Hispaset
