راه سرقت اطلاعات گوشی های هوشمند LG G3 کشف شد

 اخیرا محققان از کاربران گوشی های هوشمند LG G3 درخواست کردند پس از اینکه مورد آسیب پذیری امنیتی قرار گرفتند گوشی خود را بروز رسانی کنند. اگر کاربران مورد سؤ استفاده مهاجمین قرار بگیرند، مهاجمین می توانند به دلخواه خود جاوا اسکریپت را اجرا کرده و مشکلات بزرگی مانند: سرقت اطلاعات، حملات فیشینگ و لغو کردن سرویس پشتیبانی را بوجود بیاورند.

به گزارش ایسکانیوز، این نقطه آسیب پذیر توسط محققان شرکتهای امنیت سایبری کشف شد. این مشکل از وجود برنامه ای است که به طور پیش فرض بر روی هر یک از گوشی های هوشمند LG نصب شده است. این برنامه یک "هشدار دهنده هوشمند" است که اطلاعیه ها یا همان Notifications را نشان می دهد اما قادر به اعتبار سنجی داده ها نمی باشد و این بدان معنی است که اطلاعیه ها و فهرست مخاطبین تماس را به طور مستقیم به برنامه متصل می کند بدون اینکه از قبل آنها را مورد بررسی قرار داده باشد.

پس از کشف این مشکل محققان امنیتی تشکیل یک تیم دادند تا از این آسیب پذیری جلوگیری کنند.

این تیم افشا کرد که اگر مهاجم اسکریپت های مخرب را در مشخصات یک مخاطب ذخیره کرده باشد هنوز هم می تواند آن اسکریپت را توسط نرم افزار فعال کند. دلیل این مسئله این است که "هشدار دهنده هوشمند" از WebView استفاده می کند و این جزیی از سیستم طراحی شده کروم است که اجازه می دهد برنامه های اندروید تحت وب به نمایش در بیایند. در روز پنجشنبه گذشته مشخص شد که یک برنامه نویس می تواند قابلیت های جاوا اسکریپت را گسترش دهد و آن را به سمت کدهای سرور هدایت کند تا به نقطه آسیب پذیری برسد.

کارشناسان این تیم تحقیقاتی گفته اند: "با توجه به نقاط آسیب پذیر، مهاجم براحتی می تواند به دستگاه کاربر وارد شده و اطلاعات خصوصی ذخیره شده بر روی کارت SD، داده های برنامه WhatsApp و تصاویر خصوصی را به سرقت ببرد. این سرقت شامل موارد دیگر هم می شود: باز کردن مرورگر تلفن از طریق یک سایت از راه دور، فریب کاربران با نصب یک برنامه شخص سوم و وارد کردن دستگاه به یک حلقه بی نهایت از سو استفاده که کاری بسیار راحت است و به دلیل آسیب پذیر بودن پیش می آید."

محققان، LG را از این مشکل مطلع کردند و کره جنوبی هم یک بسته نرم افزاری بروز رسانی منتشر کرد. اما زمانی که در سال 2014 این گوشی ها تولید شدند محققان معتقد بودند که این گوشی ها هنوز هم می توانند آسیب پذیر باشند. با این وجود متخصصین این تیم گفته اند: "ما بسیار خوشحال هستیم که LG نسبت به این وضعیت واکنش نشان داد زیرا این مسئله یک نوع نقض امنیتی بالقوه به شمار می آید که می تواند اطلاعات شخصی میلیون ها کاربر LG در سراسر دنیا را به خطر بیندازد."

منبع: کسپرسکی آنلاین

20101

کد خبر: 587835

وب گردی

وب گردی