LG

محققین یک نقص امنیتی جدی را در گوشی‌های هوشمند LG G3 کشف کردند که ممکن است به سرقت داده‌ها، حملات منع سرویس(۱) و  Phishing منجر شود.

این آسیب‌پذیری که در نرم افزار Smart Notice قرار دارد و SNAP نام دارد، توسط Shachar Korot و Liran Segal از شرکت BugSec معرفی شده است. این آسیب‌پذیری در برنامه مربوط به اطلاع‌‌رسانی (Smart Notice app) گوشی‌های LG کشف شده است و اجازه می‌دهد که مهاجم کدهای دلخواه جاوا اسکریپت را روی جدیدترین دستگاه‌های LG اجرا کند.

با استفاده از این آسیب‌پذیری یک مهاجم به راحتی می‌تواند اطلاعات کاربران را سرقت کند و اطلاعات خصوصی ذخیره شده در کارت SD را بیرون بکشد و علاوه بر این مهاجم می‌تواند کاربر را در معرض حملات phishing قرار دهد و یا حتی یک برنامه مخرب را در سیستم کاربر نصب کند.

به گفته محققین، علت اصلی مشکل امنیتی این است که برنامه SNAP، داده ارائه شده توسط کاربران را اعتبار سنجی نمی‌کند. داده می‌تواند از مخاطبین تلفن گرفته و دستکاری شود.

به منظور بررسی بیشتر، دو نفر از محققین امنیت با نام‌های Segal و Korot یک مخاطب مخرب (با قرار دادن یک اسکریپت مخرب در قسمت نام مخاطب) را در گوشی اضافه کردند و قسمت یادآور پاسخ به تماس(۲) و “اطلاع‌رسانی تولد(۳) از نرم‌افزار Smart Notice مربوط به این مخاطب را تنظیم کردند. این امر به گروه تحقیق اجازه می‌داد تا بتوانند کنترل روی دستگاه را به منظور ارسال کد مخرب، در دست داشته باشند. گروه تحقیق همچنین بیان داشته که حملات زیادی ممکن است به وسیله بهره‌برداری از این آسیب‌پذیری انجام شود. شرکت LG به این آسیب‌پذیری واکنش نشان داد و نسخه جدیدی از نرم‌افزار Smart Notice را ارائه داد که این آسیب‌پذیری را برطرف کرده بود.

منبع

https://latesthackingnews.com/2016/02/03/millions-of-lg-g3-smartphones-users-affected-by-snap-vulnerability

(۱) Denial of Service
(۲) Callback reminde
(۳) Birthday notification