کشف یک شکاف سرقت اطلاعات در گوشی‌های LG G۳

گروهی از محققان کاربرانی را که L۳ G۳ دارند به ارتقای دستگاه‌هایشان تشویق می‌کنند، چرا که یک آسیب‌پذیری امنیتی جدی در سامانه‌ی این تلفن هوشمند بروز کرده است.
چنانچه نفوذگران بتوانند از این اشکال سوءاستفاده کنند قادر خواهند بود کد جاوااسکریپت دلخواه خود را به اجرا دربیاورند، و مشکلات انگشت‌شماری اعم از سرقت اطلاعات، حملات فیشینگ و انسداد سرویس را به بار بیاورند.
این آسیب‌پذیری که شرکت‌های امنیتی BugSec و Cynet نام SNAP را برایش انتخاب کرده‌اند، از مسئله‌ای آب می‌خورد که در یک برنامه‌ی کاربردی پیش‌فرض نصب‌شده روی تلفن‌های ال‌جی وجود دارد.
این برنامه که Smart Notice نام دارد، اطلاعیه‌های دستگاه را واکشی می‌کند، اما در اعتبارسنجی داده‌های کاربر ناموفق عمل می‌نماید؛ بدین معنا که هنگامی که Smart Notice اطلاعیه‌ها و نیز اطلاعات تماس را واکشی می‌کند، بدون آن‌که صلاحیت آن‌ها را بررسی کند، آن‌ها را مستیقماً وارد برنامه می‌کند.
گروه محقق کشف کردند که چنانچه نفوذگری اسکریپت مخربی را در اطلاعات یک تماس جاسازی کند، این اسکریپت توسط برنامه فعال می‌شود. دلیلش این است که Smart Notice از WebView استفاده می‌نماید؛ WebView یک مؤلفه‌ی سامانه‌ای است که توسط کروم طراحی شده و به برنامه‌های اندرویدی اجازه می‌دهد که محتوای وب را به نمایش بگذارند. این قابلیت همچنین به نحوی است که یک برنامه‌نویس می‌تواند به کمک ویژگی‌های جاوااسکریپت از آن برای اجرای کد سمت کارگزار استفاده نماید.
نفوذگر به کمک این آسیب‌پذیری می‌تواند به راحتی دستگاه را در معرض حمله‌ی سرقت داده قرار دهد، و اطلاعات خصوصی ذخیره‌شده روی کارت SD نظیر داده‌های واتس‌اپ و تصاویر شخصی را بیرون بکشد.
برداشت اطلاعات از کارت SD موجب می‌شود که مرورگر این تلفن همراه در معرض نفوذ وب‌گاه‌ها قرار بگیرد و راه این وب‌گاه‌ها را برای نصب برنامه‌های شخص ثالث باز کند، و دستگاه را وارد یک حلقه‌ی بی‌نهایت از عمل‌کردهای مخرب به واسطه‌ی آسیب‌پذیری مورد بحث نماید.
محققان، ال‌جی را در جریان این آسیب‌پذیری قرار دادند و این شرکت کره‌ای را وادار به ارائه‌ی وصله نمودند، اما با توجه به این‌که این تلفن هوشمند در سال ۲۰۱۴ وارد بازار شده، میلیون‌ها دستگاه کماکان ممکن است آسیب‌پذیر باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap