Η LG έχει εκδώσει μια ενημερωμένη έκδοση ασφαλείας για να επιδιορθώσει ένα θέμα πειρατείας σε ένα τηλέφωνό της από τη σειρά G3, που επηρέαζε την εφαρμογή Smart Notice, μια προ-εγκατεστημένη εφαρμογή σε όλες τις νέες της συσκευές.
Ερευνητές ασφάλειας από τη BugSec και τη Cynet, οι Liran Segal και Shachar Korot, ανακάλυψαν ότι οι επιτιθέμενοι θα μπορούσαν να εισάγουν και στη συνέχεια να εκτελέσουν κακόβουλο κώδικα JavaScript μέσω του Smart Notice.
Η εφαρμογή, που ξεκίνησε από την LG το 2014, λειτουργεί δείχνοντας διάφορες κοινοποιήσεις στην αρχική οθόνη του χρήστη. Αυτές οι ειδοποιήσεις εμφανίζονται σε ορισμένα γεγονότα, όπως ένα σημείωμα υπενθύμισης, μια υπενθύμιση επανάκλησης, μια νέα επαφή, ειδοποιήσεις για αγαπημένες επαφές και κοινοποιήσεις γενεθλίων.
Κατά τα πειράματά τους οι ερευνητές, δημιούργησαν μια καταχώρηση επαφής που περιείχε κακόβουλο κώδικα και προστέθηκε στις καταχωρήσεις επαφών και τελικά ήταν υπεύθυνη για την ενεργοποίηση επανάκλησης και τις ειδοποιήσεις για τα γενέθλια.
Η ευπάθεια, το αδύναμο σημείο στο σύνολο της ασφάλειας, ήταν ότι ένας εισβολέας δεν χρειαζόταν απαραίτητα τον χρήστη να εγκρίνει τη λήψη μιας νέας επαφής. Οι ερευνητές πειραματίστηκαν με φορείς μόλυνσης που ανέβασαν κακόβουλες επαφές στο τηλέφωνο του θύματος, χωρίς να απαιτείται καμία αλληλεπίδραση. Εξήγησαν ότι αυτό θα μπορούσε να γίνει μέσω των κωδικών QR, μηνυμάτων MMS ή μέσω των WhatsApp επαφών.
Μόλις ένας χρήστης μολυνθεί με την εν λόγω επαφή, ανεξάρτητα από τον τρόπο, κάθε φορά που θα χρησιμοποιούταν το Smart Notice app για να δείξει την υπενθύμιση, ο κακόβουλος κώδικας θα εκτελούνταν παράλληλα.
Το πρόβλημα έγκειται στο γεγονός ότι οι LG προγραμματιστές ξέχασαν να προσθέσουν κανόνες επικύρωσης για τη Smart Notice εφαρμογή, ώστε να παρεμποδίζεται η εκτέλεση του κακόβουλου κώδικα, που αποκτήθηκε από τον κατάλογο επαφών, στο τηλέφωνο.
Οι ερευνητές των BugSec και Cynet υποστήριξαν ότι κατά τη διάρκεια των δοκιμών τους, κατάφεραν να πάρουν τον πλήρη έλεγχο της συσκευής. Στο πείραμά τους, που φαίνεται και στο παρακάτω βίντεο, κατάφεραν αρχικά να δημιουργήσουν μια σύνδεση με τον διακομιστή C&C, από όπου ανέθεσαν στο τηλέφωνο να πραγματοποιήσει άλλες εντολές.
[su_youtube url=”https://www.youtube.com/watch?v=sI8Xk0pQHU4″ width=”580″ height=”380″]
Οι ερευνητές ήταν σε θέση να εξαπολύσουν επιθέσεις phishing, να κλέψουν τα δεδομένα από τη συσκευή, ακόμα και να εγκαταστήσουν άλλες εφαρμογές που ενήργησαν ως κερκόπορτες.
Οι χρήστες που θα ήθελαν να αποφύγουν να θέσουν το τηλέφωνό τους σε κίνδυνο θα πρέπει να αναβαθμίσουν στην τελευταία έκδοση του Smart Notice, την οποία η LG κυκλοφόρησε μόλις εχθές.
