Start Technik heute Android Die ‚Snap‘-Schwachstelle des LG G3 birgt das Risiko von Datendiebstahl für Besitzer

Die ‚Snap‘-Schwachstelle des LG G3 birgt das Risiko von Datendiebstahl für Besitzer

70
0


LG G3 Lutscher 1

Sicherheitsforscher haben in LG G3-Smartphones eine Schwachstelle entdeckt, die ausgenutzt werden könnte, um beliebiges JavaScript auszuführen, um Daten zu stehlen. Das Problem wurde Snap genannt und von den israelischen Sicherheitsfirmen BugSec und Cynet entdeckt.

Besonders besorgniserregend an Snap ist, dass es den Smart Notice betrifft, der standardmäßig auf allen LG G3s installiert ist. Durch das Einbetten eines schädlichen Skripts in einen Kontakt ist es möglich, WebView zu verwenden, um serverseitigen Code über JavaScript auszuführen. Bei Ausnutzung könnte die Sicherheitsanfälligkeit verwendet werden, um Informationen von SD-Karten zu sammeln, Daten von WhatsApp zu stehlen und private Fotos zu stehlen.

Die Forscher identifizierten eine Reihe möglicher Angriffsvektoren, darunter die Aufforderung eines Opfers, einen QR-Code zu scannen, oder das Senden eines gefälschten Kontakts über WhatsApp oder MMS. Liran Segal und Shachar Korot, die die Sicherheitslücke entdeckten, sagten, sie hätten LG kontaktiert und das Unternehmen habe schnell reagiert, indem es Smart Notice mit einem Patch aktualisiert habe. G3-Besitzer müssen das Update installieren.

In einem Blogeintrag, Cynet sagt:

Die Hauptursache für das Sicherheitsproblem ist die Tatsache, dass Smart Notice die den Benutzern präsentierten Daten nicht validiert. Daten können aus den Telefonkontakten entnommen und manipuliert werden. Der Angriff kann aufgrund von Funktionsproblemen der Smart Notice-Anwendung auf verschiedene Weise erfolgen. Die Anwendung öffnet Benachrichtigungen (mit dem Namen „Karten“) in jedem dieser Szenarien:

  • Benachrichtigung über Favoritenkontakte – Empfiehlt Ihnen, mit Favoritenkontakten in Kontakt zu bleiben.

  • Neuer Kontaktvorschlag – schlägt vor, eine Anrufernummer zu speichern.

  • Rückruferinnerung – Erinnerung daran, einen Kontakt zurückzurufen, nachdem der Anruf abgelehnt wurde.

  • Geburtstagsbenachrichtigung – Erinnerung an den Geburtstag des Kontakts.

  • Memo-Erinnerung – Bietet Benachrichtigungen über Benutzer-Memos.

Das folgende Video der BugSec Group zeigt, wie die Schwachstelle ausgenutzt werden kann:



Vorheriger ArtikelWie sich KI 2019 auf die Sicherheit auswirkt
Nächster ArtikelRed Hat Enterprise Linux 6.5 Beta jetzt verfügbar

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein