WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Ứng dụng On-Screen Phone trên LG cho phép kiểm soát hoàn toàn điện thoại
Giao thức sử dụng trên ứng dụng On-Screen Phone của nhà sản xuất LG vừa bị phát hiện có chứa lỗ hổng xác thực cho phép kẻ xấu có thể kiểm soát toàn bộ thiết bị di động.
Ứng dụng On-Screen Phone giúp điều khiển điện thoại từ máy tính với khả năng nhắn tin và chuyển dữ liệu giữa 2 thiết bị.
Hacker có thể truy cập bất kỳ vị trí nào trên điện thoại
Màn hình điện thoại được hiển thị trên máy tính, vì thế bất kì thông báo nào đều xuất hiện trên cả 2 thiết bị được kết nối thông qua USB hoặc mạng không dây.
Khi nhận yêu cầu kết nối từ máy tính, điện thoại LG được cài ứng dụng yêu cầu chủ sở hữu xác nhận. Imre Rad, một chuyên gia bảo mật đã phát hiện kẻ xấu có thể bỏ qua yêu cầu xác nhận này của chủ nhân điện thoại khi sử dụng trên cùng mạng kết nối.
Khi kết nối giữa 2 thiết bị được thiết lập, điều khiển từ PC có thể truy cập mọi nơi trên điện thoại, và có thể cấy mã độc kiểm soát, theo dõi các thông tin tài chính bí mật.
Lỗ hổng CVE-2014-8757 ảnh hưởng đến tất cả các phiên bản của ứng dụng từ bản 4.3.009.
Quá trình OSP tự khởi động, không thể tự ngừng
Rad cung cấp mã thực thi (proof-of-concept) để miêu tả phát hiện này và cho biết hầu hết các điện thoại di động LG đều bị ảnh hưởng và trong nhiều trường hợp On-Screen Phone (OSP) được cài sẵn, và không thể gỡ ứng dụng này khỏi thiết bị.
Hơn thế, các nhà nghiên cứu cũng cho biết ứng dụng tự kích hoạt trong quá trình khởi động và không có phím tắt.
Tuy nhiên, ứng dụng này dường như không có lỗi trên các smartphone mới của LG, như máy LG G3 mới được ra mắt vào tháng 6/2014.
LG đang khắc phục lỗi và phát hành phiên bản 4.3.010. Người dùng nên kiểm tra trong Update Center của LG và thực hiện cài đặt.
Nguồn: Softpedia
Ứng dụng On-Screen Phone giúp điều khiển điện thoại từ máy tính với khả năng nhắn tin và chuyển dữ liệu giữa 2 thiết bị.
Hacker có thể truy cập bất kỳ vị trí nào trên điện thoại
Màn hình điện thoại được hiển thị trên máy tính, vì thế bất kì thông báo nào đều xuất hiện trên cả 2 thiết bị được kết nối thông qua USB hoặc mạng không dây.
Khi nhận yêu cầu kết nối từ máy tính, điện thoại LG được cài ứng dụng yêu cầu chủ sở hữu xác nhận. Imre Rad, một chuyên gia bảo mật đã phát hiện kẻ xấu có thể bỏ qua yêu cầu xác nhận này của chủ nhân điện thoại khi sử dụng trên cùng mạng kết nối.
Khi kết nối giữa 2 thiết bị được thiết lập, điều khiển từ PC có thể truy cập mọi nơi trên điện thoại, và có thể cấy mã độc kiểm soát, theo dõi các thông tin tài chính bí mật.
Lỗ hổng CVE-2014-8757 ảnh hưởng đến tất cả các phiên bản của ứng dụng từ bản 4.3.009.
Quá trình OSP tự khởi động, không thể tự ngừng
Rad cung cấp mã thực thi (proof-of-concept) để miêu tả phát hiện này và cho biết hầu hết các điện thoại di động LG đều bị ảnh hưởng và trong nhiều trường hợp On-Screen Phone (OSP) được cài sẵn, và không thể gỡ ứng dụng này khỏi thiết bị.
Hơn thế, các nhà nghiên cứu cũng cho biết ứng dụng tự kích hoạt trong quá trình khởi động và không có phím tắt.
Tuy nhiên, ứng dụng này dường như không có lỗi trên các smartphone mới của LG, như máy LG G3 mới được ra mắt vào tháng 6/2014.
LG đang khắc phục lỗi và phát hành phiên bản 4.3.010. Người dùng nên kiểm tra trong Update Center của LG và thực hiện cài đặt.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: