聽說LG旗艦手機G3的內建程式含有資料竊取漏洞?

今天看到hinet新聞上寫著
轉貼至http://times.hinet.net/news/17068248

LG旗艦手機G3的內建程式含有資料竊取漏洞
iThome 2016/01/30 15:22(6小時前)
資安業者BugSec與Cynet在本周披露,LG在2014年發表的旗艦手機G3所內建的「智慧通知」(Smart Notice)程式含有重大的安全漏洞,將允許駭客注入惡意的JavaScript程式,以竊取使用者資料,或是進行網釣攻擊與阻斷服務攻擊,將影響市場上數百萬台的G3,呼籲使用者儘快部署LG近日所釋出的修補程式。

採用Android平台的G3為LG所開發的高階智慧型手機,並於2014年,當時最低規格的空機價為20900元新台幣。

Smart Notice則是G3內建的通知功能,預設值是開啟的,可用來顯示各種通知資訊,也能建議使用者將某人的聯絡資訊納入通訊錄,然而,資安業者發現它的驗證功能含有安全漏洞,允許駭客夾帶惡意程式。

研究人員說明,Smart Notice使用與Chrome瀏覽器一致的WebView元件,以用來展示網路內容,該元件亦支援JavaScript的執行,若駭客在聯絡資訊中注入惡意程式,就能輕易進入使用者裝置並竊取儲存在SD卡中的資料,也能啟用手機瀏覽器,並誘導使用者下載其他程式,還能讓裝置進入無限迴圈。

在開採該漏洞的測試中,研究人員打造了一個惡意的聯絡資訊,一旦被Smart Notice的回撥提醒或生日提醒事件觸發,就會執行潛藏的惡意程式,還能連結遠端伺服器以更新惡意程式。


不知道台灣官方什麼時候會有新的更新檔......
2016-01-30 22:19 發佈
其實各家非原生的android都存在著一些漏洞,可大可小,前陣子google有分小組去測各家的系統,希望各家系統都能儘快修補。
小小新人王 wrote:
今天看到hinet...(恕刪)


好像有,現在我的g3會無緣無故顯示無法下載,也沒有說什麼檔案無法下載,然後我只要開露天,我看不到賣家所有販賣的物品。現在更誇張,露天整個連不上...
我現在也不能上露天拍賣
我家的G3沒問題,可上露天、下載檔案。
軟體版本是V21a-TWN-XX
聽說昨天LG有放應用程式更新出來了
有G3的版友檢查一下吧

庭仔子 wrote:
我家的G3沒問題,...(恕刪)


可能你沒有用smart notice,或者你把smart notice功能全開了,才沒事...
剛露天可以進去了,大概是快過年一堆人在掃貨吧,前幾天塞車...
評分
複製連結