資安業者BugSec與Cynet在本周披露,LG在2014年發表的旗艦手機G3所內建的「智慧通知」(Smart Notice)程式含有重大的安全漏洞,將允許駭客注入惡意的JavaScript程式,以竊取使用者資料,或是進行網釣攻擊與阻斷服務攻擊,將影響市場上數百萬台的G3,呼籲使用者儘快部署LG近日所釋出的修補程式。

採用Android平台的G3為LG所開發的高階智慧型手機,並於2014年進入台灣市場,當時最低規格的空機價為20900元新台幣。

Smart Notice則是G3內建的通知功能,預設值是開啟的,可用來顯示各種通知資訊,也能建議使用者將某人的聯絡資訊納入通訊錄,然而,資安業者發現它的驗證功能含有安全漏洞,允許駭客夾帶惡意程式。

研究人員說明,Smart Notice使用與Chrome瀏覽器一致的WebView元件,以用來展示網路內容,該元件亦支援JavaScript的執行,若駭客在聯絡資訊中注入惡意程式,就能輕易進入使用者裝置並竊取儲存在SD卡中的資料,也能啟用手機瀏覽器,並誘導使用者下載其他程式,還能讓裝置進入無限迴圈。

在開採該漏洞的測試中,研究人員打造了一個惡意的聯絡資訊,一旦被Smart Notice的回撥提醒或生日提醒事件觸發,就會執行潛藏的惡意程式,還能連結遠端伺服器以更新惡意程式。

熱門新聞

Advertisement