[新聞] LG旗艦手機G3的內建程式含有資料竊取漏洞

看板MobileComm作者bignoob (有我嫩嗎)時間10年前 (2016/01/31 23:43)推噓5(6推 1噓 1→)

留言8則, 8人參與討論串1/1

心得: Smart Notice是不是G2 GPRO2 G4都有阿，只有G3中標而已嗎另外Smart Notice真的好用嗎? 手機剛拿到預設開啟，我都直接把它關掉另外安全漏洞提到他們是因為Smart Notice的WebView元件支援JavaScript的執行而造成漏洞發生，可是在 5.0之後，WebView不是都可以透過Google Play更新了嗎? 不知道這是G3獨有還是沒更新WebView的手機都會遇到此情形? ---------------------------------------------------------------- http://www.ithome.com.tw/news/103667 Smart Notice則是G3內建的通知功能，預設值是開啟的，可用來顯示各種通知資訊，也能建議使用者將某人的聯絡資訊納入通訊錄，然而，資安業者發現它的驗證功能含有安全漏洞，允許駭客夾帶惡意程式，竊取使用者資料，或是進行網釣攻擊與阻斷服務攻擊。資安業者BugSec與Cynet在本周披露，LG在2014年發表的旗艦手機G3所內建的「智慧通知」（Smart Notice）程式含有重大的安全漏洞，將允許駭客注入惡意的JavaScript程式，以竊取使用者資料，或是進行網釣攻擊與阻斷服務攻擊，將影響市場上數百萬台的G3，呼籲使用者儘快部署LG近日所釋出的修補程式。採用Android平台的G3為LG所開發的高階智慧型手機，並於2014年進入台灣市場，當時最低規格的空機價為20900元新台幣。 Smart Notice則是G3內建的通知功能，預設值是開啟的，可用來顯示各種通知資訊，也能建議使用者將某人的聯絡資訊納入通訊錄，然而，資安業者發現它的驗證功能含有安全漏洞，允許駭客夾帶惡意程式。研究人員說明，Smart Notice使用與Chrome瀏覽器一致的WebView元件，以用來展示網路內容，該元件亦支援JavaScript的執行，若駭客在聯絡資訊中注入惡意程式，就能輕易進入使用者裝置並竊取儲存在SD卡中的資料，也能啟用手機瀏覽器，並誘導使用者下載其他程式，還能讓裝置進入無限迴圈。在開採該漏洞的測試中，研究人員打造了一個惡意的聯絡資訊，一旦被Smart Notice的回撥提醒或生日提醒事件觸發，就會執行潛藏的惡意程式，還能連結遠端伺服器以更新惡意程式。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.126.135 ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1454255022.A.D67.html

→

w3160828

02/01 00:05, , 1^F

02/01 00:05, 1^F

推

olmtw

02/01 00:05, , 2^F

02/01 00:05, 2^F

噓

joiedevivre

02/01 00:06, , 3^F

02/01 00:06, 3^F