European Cyber Security Challenge 2018 (ECSC ’18): Τα αποτελέσματα
infosec rapidalert

European Cyber Security Challenge 2018 (ECSC ’18): Τα αποτελέσματα

Ο φετινός πανευρωπαϊκός διαγωνισμός κυβερνοασφάλειας European Cyber Security Challenge 2018 (ECSC '18) που διεξήχθει στο Λονδίνο έλαβε τέλος και βρήκε...
Read More
infosec

Το GandCrab malware δημοσιεύει τα Κλειδιά των σύριων θυμάτων

Σε ένα post ενός hacking forum, οι developers του GandCrab δημοσίευσαν όλα τα κλειδιά αποκρυπτογράφησης των θυμάτων τους από την...
Read More
infosec

Το RID hijacking δίνει πλήρη πρόσβαση στους hackers σε Windows PCs

Ένας ερευνητής ασφάλειας που ονομάζεται Sebastián Castro, έχει ανακαλύψει έναν τρόπο να αποκτήσει δικαιώματα διαχειριστή σε υπολογιστές Windows, ο οποίος...
Read More
infosec

Το Facebook Portal συλλέγει δεδομένα για προβολή στοχευμένων διαφημίσεων

Όταν το Facebook ξεκίνησε το Portal - μια handsfree συσκευή βίντεο κλήσης- για να ανταγωνιστεί το Amazon Alexa και το...
Read More
infosec

Παράκαμψη κωδικού στα iPhone επιτρέπει σε hackers να μοιράζονται εικόνες σας

Η προσπάθεια των hackers να παρακάμψουν την ασφάλεια των iPhone δεν είναι κάτι καινούργιο και είναι κάτι που συμβαίνει συνέχεια....
Read More

Το LG G3 patch-αρίστηκε ενάντια σε ένα συνολικό Takeover

Η LG έχει εκδώσει μια ενημερωμένη έκδοση ασφαλείας για να επιδιορθώσει ένα θέμα πειρατείας σε ένα τηλέφωνό της από τη σειρά G3, που επηρέαζε την εφαρμογή Smart Notice, μια προ-εγκατεστημένη εφαρμογή σε όλες τις νέες της συσκευές.

Ερευνητές ασφάλειας από τη BugSec και τη Cynet, οι Liran Segal και Shachar Korot, ανακάλυψαν ότι οι επιτιθέμενοι θα μπορούσαν να εισάγουν και στη συνέχεια να εκτελέσουν κακόβουλο κώδικα JavaScript μέσω του Smart Notice.

Η εφαρμογή, που ξεκίνησε από την LG το 2014, λειτουργεί δείχνοντας διάφορες κοινοποιήσεις στην αρχική οθόνη του χρήστη. Αυτές οι ειδοποιήσεις εμφανίζονται σε ορισμένα γεγονότα, όπως ένα σημείωμα υπενθύμισης, μια υπενθύμιση επανάκλησης, μια νέα επαφή, ειδοποιήσεις για αγαπημένες επαφές και κοινοποιήσεις γενεθλίων.

Το LG G3 patch-αρίστηκε ενάντια σε ένα συνολικό Takeover

Κατά τα πειράματά τους οι ερευνητές, δημιούργησαν μια καταχώρηση επαφής που περιείχε κακόβουλο κώδικα και προστέθηκε στις καταχωρήσεις επαφών και τελικά ήταν υπεύθυνη για την ενεργοποίηση επανάκλησης και τις ειδοποιήσεις για τα γενέθλια.

Η ευπάθεια, το αδύναμο σημείο στο σύνολο της ασφάλειας, ήταν ότι ένας εισβολέας δεν χρειαζόταν απαραίτητα τον χρήστη να εγκρίνει τη λήψη μιας νέας επαφής. Οι ερευνητές πειραματίστηκαν με φορείς μόλυνσης που ανέβασαν κακόβουλες επαφές στο τηλέφωνο του θύματος, χωρίς να απαιτείται καμία αλληλεπίδραση. Εξήγησαν ότι αυτό θα μπορούσε να γίνει μέσω των κωδικών QR, μηνυμάτων MMS ή μέσω των WhatsApp επαφών.

Μόλις ένας χρήστης μολυνθεί με την εν λόγω επαφή, ανεξάρτητα από τον τρόπο, κάθε φορά που θα χρησιμοποιούταν το Smart Notice app για να δείξει την υπενθύμιση, ο κακόβουλος κώδικας θα εκτελούνταν παράλληλα.

Το πρόβλημα έγκειται στο γεγονός ότι οι LG προγραμματιστές ξέχασαν να προσθέσουν κανόνες επικύρωσης για τη Smart Notice εφαρμογή, ώστε να παρεμποδίζεται η εκτέλεση του κακόβουλου κώδικα, που αποκτήθηκε από τον κατάλογο επαφών, στο τηλέφωνο.

Οι ερευνητές των BugSec και Cynet υποστήριξαν ότι κατά τη διάρκεια των δοκιμών τους, κατάφεραν να πάρουν τον πλήρη έλεγχο της συσκευής. Στο πείραμά τους, που φαίνεται και στο παρακάτω βίντεο, κατάφεραν αρχικά να δημιουργήσουν μια σύνδεση με τον διακομιστή C&C, από όπου ανέθεσαν στο τηλέφωνο να πραγματοποιήσει άλλες εντολές.

Οι ερευνητές ήταν σε θέση να εξαπολύσουν επιθέσεις phishing, να κλέψουν τα δεδομένα από τη συσκευή, ακόμα και να εγκαταστήσουν άλλες εφαρμογές που ενήργησαν ως κερκόπορτες.

Οι χρήστες που θα ήθελαν να αποφύγουν να θέσουν το τηλέφωνό τους σε κίνδυνο θα πρέπει να αναβαθμίσουν στην τελευταία έκδοση του Smart Notice, την οποία η LG κυκλοφόρησε μόλις εχθές.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *