示意圖,與新聞事件無關。

資安公司Check Point Research發現了LG所有的主流旗艦智慧型手機,其預設鍵盤皆存在兩個漏洞,允許駭客可以遠端執行程式碼,這些型號包括LG G4、LG G5和LG G6等較新的機型,而LG也在Check Point Research通報後,已於5月安全更新釋出了漏洞修補補丁

Check Point Research在數月前向LG揭漏了這兩個漏洞,這兩個漏洞可以讓駭客在LG行動裝置上以特殊權限遠端執行任意程式碼,以鍵盤記錄程式危害用戶的隱私。第一個漏洞造因於不安全的連線,LG的鍵盤支援各種語言,包括用戶自行定義的語言,而英文則為預設鍵盤。當安裝新語言或是更新現有語言鍵盤時,裝置會向伺服器請求語言檔案,但是裝置與伺服器的連線使用不安全的HTTP協定,因此用戶裝置極有可能受駭客進行中間人攻擊,下載了惡意檔案而非合法的語言檔案。

第二個漏洞也跟鍵盤語言更新有關,其語言檔案下載儲存的位置由MITM代理伺服器控制,而此語言資源檔案存放的位置取決於文件​​命名,因此透過路徑走訪機制可以將檔名當作儲存位置路徑,因此當駭客對用戶進行中間人攻擊後,可以透過修改檔名,將惡意程式碼檔案放置到任何路徑中。

LG的鍵盤應用程式會假設下載資料夾中的Lib檔案皆為語言包的部分檔案,因此會授予這些Lib檔案為.so檔的可執行權限。而當元資料檔案被動手腳,駭客便能為所欲為的將所有中間人攻擊下載來的惡意Lib檔全部授予可執行權限。最後只要等待鍵盤應用程式重新啟動,把這些惡意Lib載入,便完成了攻擊行動。

這個漏洞雖只在LG的手機獨有,但影響範圍頗大,根據2017年顧問公司Strategic Analytics所做的調查,LG手機在美國Android的OEM市占率超過20%。LG在收到通報後,將這兩個漏洞合併代號為 LVE-SMP-170025,並已在5月的安全更新中加入修正補丁,修補了這兩個漏洞。


Advertisement

更多 iThome相關內容