原标题:LG旗舰手机遭爆有远端程式码执行漏洞,G4、G5及G6全中镖
示意图,与新闻事件无关。
资安公司Check△Point△Research发现了LG所有的主流旗舰智能手机,其预设键盘皆存在两个漏洞,允许骇客可以远端执行程式码,这些型号包括LG△G4、LG△G5和LG△G6等较新的机型,而LG也在Check△Point△Research通报后,已于5月安全更新释出了漏洞修补补丁
Check△Point△Research在数月前向LG揭漏了这两个漏洞,这两个漏洞可以让骇客在LG行动装置上以特殊权限远端执行任意程式码,以键盘记录程式危害用户的隐私。第一个漏洞造因于不安全的连线,LG的键盘支援各种语言,包括用户自行定义的语言,而英文则为预设键盘。当安装新语言或是更新现有语言键盘时,装置会向伺服器请求语言档案,但是装置与伺服器的连线使用不安全的HTTP协议,因此用户装置极有可能受骇客进行中间人攻击,下载了恶意档案而非合法的语言档案。
第二个漏洞也跟键盘语言更新有关,其语言档案下载储存的位置由MITM代理伺服器控制,而此语言资源档案存放的位置取决于文件??命名,因此通过路径走访机制可以将档名当作储存位置路径,因此当骇客对用户进行中间人攻击后,可以通过修改档名,将恶意程式码档案放置到任何路径中。
LG的键盘应用程序会假设下载资料夹中的Lib档案皆为语言包的部分档案,因此会授予这些Lib档案为.so档的可执行权限。而当元资料档案被动手脚,骇客便能为所欲为的将所有中间人攻击下载来的恶意Lib档全部授予可执行权限。最后只要等待键盘应用程序重新启动,把这些恶意Lib载入,便完成了攻击行动。
这个漏洞虽只在LG的手机独有,但影响范围颇大,根据2017年顾问公司Strategic△Analytics所做的调查,LG手机在美国Android的OEM市占率超过20%。LG在收到通报后,将这两个漏洞合并代号为 LVE-SMP-170025,并已在5月的安全更新中加入修正补丁,修补了这两个漏洞。
相关:
在我们日常生活上,有很多人的手机号不使用3个月后就会被运营商收回,重新进入选号系统。近日有不少用户反映,发现自己新买的手机号无法注册新的APP账户,反而直接登录的是别人的账号,究竟是怎么回事呢?然而,现在
现在的学生的上学准备可多着呢!手机、笔记本电脑、路由器一样都不可以缺的。但是大部分的学生在经济来源上都是比较欠缺的,想要买一台自己喜欢的手机品牌就有点难度。那么学生党买手机怎么挑呢?其实可以选择价格更
之前有传闻称,小米7将于5月底正式发布。然而昨天又有人在网上爆出重磅消息——小米8将与小米7一同登场!今年是小米成立8周年,而且小米也又在近期上市的计划,因此推出一个纪念款机型似乎也是很有可能的。那么,小米
听闻有5G网络的时候瞬间引起了不少人关注!现在5G网络标准版已经落地,首批5G手机也将推出,下载速度吊打宽带,5G网络1秒钟下载1部电影。关于5G网络流量如何收费也是大家关心的问题,那么5G网络流量收费贵吗?下面来
有47.1%受访者表示会在知道漏洞时立即修补,而有5.2%一年修补一到两次。 图片来源: RSA△Survey 在今年4月于美国举行的RSA安全会议(RSA△Conference)上,主办单位针对与会的155个资安专家进行了问卷调查,显示出