Cisco WebEx vá lỗi cho phép đánh cắp quyền sử dụng

cisco-webex-va-loi-cho-phep-danh-cap-quyen-su-dungCisco đã vá lại lỗ hổng cho phép các ứng dụng của bên thứ 3 có thể đánh cắp quyền của ứng dụng WebEx và thực thi mã độc, tại hội nghị trực tuyến Cisco WebEx cho Android, bằng cách phát hành WebEx Meetings 8.5.1.

 

 

Cisco WebEx Meetings là một ứng dụng hội nghị web được phát triển xung quanh dịch vụ WebEx của Cisco dành cho các cuộc họp trực tuyến. Dịch vụ này khá mạnh, có một chỗ đứng lớn trong thị trường doanh nghiệp và đang được sử dụng ở các cấp độ khác nhau trong nhiều công ty trên thế giới.

WebEx không phải là ứng dụng trò chơi thông thường nên nó cần rất nhiều giấy phép cho phép sử dụng. Nhiều yêu cầu về quyền ở trên mức tùy chỉnh mặc định và Cisco đã sử dụng tính năng quyền tùy chỉnh trên hệ điều hành Android. Tính năng này độc đáo vì nó cũng cho phép các ứng dụng khác yêu cầu quyền tùy chỉnh đã được thiết lập bởi một ứng dụng và đã được cài đặt trên thiết bị của người dùng trước đó.

Đây cũng chính là các lỗ hổng của WebEx. Với những kẻ tấn công sử dụng ứng dụng độc hại, sau khi lừa người dùng tải về và cài đặt, chúng sẽ đánh cắp quyền cao hơn của các ứng dụng WebEx, và sau đó sử dụng quyền đó để thực thi mã độc.

Điều kiện cần để những kẻ tấn công tận dụng lỗ hổng là không có tương tác người dùng

Không có tương tác là điều kiện cần thiết từ người dùng để cho phép ứng dụng của bên thứ ba cướp quyền. Tất cả đã được lên chương trình, bằng cách khai thác lỗ hổng trong mã của Android và WebEx.

Tất cả các Cisco WebEx Meeting cho các phiên bản Android trước 8.5.1 đều dễ tạo ra lỗ hổng. Bạn có thể tải về phiên bản mới nhất từ Google Play Store.

Theo Softpedia

Ads

One comment

Leave a Reply