Πέμπτη, 12 Φεβρουαρίου 2015

Εφαρμογή της LG επιτρέπει τον πλήρη έλεγχο της συσκευής

Το πρωτόκολλο που χρησιμοποιείται στο On-screen Phone app στα smartphones της LG, έχει βρεθεί να είναι ευάλωτο σε παράκαμψη ελέγχου ταυτότητας, επιτρέποντας τον πλήρη έλεγχο της κινητής συσκευής.


Το On-screen Phone app,  προσφέρει τηλεχειρισμό του υπολογιστή μέσω κινητών συσκευών από την γνωστή εταιρεία ηλεκτρονικών και ηλεκτρικών συσκευών. Ανάμεσα στα χαρακτηριστικά του app, υπάρχει η δυνατότητα χρήσης του τηλεφώνου κατευθείαν από τον υπολογιστή, για την ανταλλαγή μηνυμάτων, καθώς και για τη μεταφορά δεδομένων μεταξύ των δύο τερματικών.

Η οθόνη του τηλεφώνου απεικονίζεται και στον υπολογιστή, ώστε οποιαδήποτε κοινοποίηση έρχεται να γίνεται διαθέσιμη και στις δύο συσκευές, που μπορούν να συνδεθούν μέσω USB, είτε ενός ασύρματου δικτύου.

Όταν λαμβάνει το μήνυμα σύνδεσης από έναν υπολογιστή, ένα τηλέφωνο της LG που διαθέτει το app ζητά από το κάτοχο έγκριση. Ο Imre Rad, ερευνητής ασφάλειας στην Ουγγαρία, στο SEARCH-LAB, διαπίστωσε ότι το αίτημα επιβεβαίωσης από το κάτοχο του τηλεφώνου μπορεί να παρακαμφθεί από έναν εισβολέα που είναι στο ίδιο δίκτυο με το θύμα.

Από τη στιγμή που η σύνδεση μεταξύ των δύο συσκευών είναι ενεργή, ο ελεγκτής από τον υπολογιστή αποκτά πρόσβαση σε όλες τις τοποθεσίες του τηλεφώνου και είναι σε θέση να εγκαταστήσει malware για παρακολούθηση ή για εξαγωγή οικονομικών στοιχείων εμπιστευτικού χαρακτήρα.

Η ευπάθεια αυτή έχει το αναγνωριστικό CVE-2014-8757 και επηρεάζει όλες τις εκδόσεις της εφαρμογής από τη 4.3.009 και μετά.

Η εταιρεία έχει ήδη αναλάβει δράση για να διορθώσει το πρόβλημα και κυκλοφόρησε τη νέα έκδοση 4.3.010. Οι κάτοχοι αυτών των κινητών τηλεφώνων θα πρέπει να ελέγξουν για τη νέα έκδοση στο κέντρο ενημέρωσης της LG και να την εγκαταστήσουν.


ΠΗΓΗ: secnews.gr

1 σχόλιο:

Giorgos είπε...

Δεν ξέρω. Εγώ πάντως όταν σκεφτόμουν να πάρω το G3 έμαθα πως είχε πρόβλημα υποστήριξης της QHD ανάλυσης και έκανα πίσω. Τώρα αυτές οι εφαρμογές είναι ασήμαντες αν κάποιος θέλει να αγοράσει ένα smartphone.

 
SYNC ME @ SYNC