来自匈牙利SEARCH-LAB的研究员Imre Rad发现,LG智能手机上LG On-Screen Phone app所使用的协议容易受认证绕过漏洞的攻击,导致用户手机被完全控制。 LG On-Screen Phone app接受来自电脑对LG手机的远程控制。它的功能包括从电脑上直接发送、接收消息,并且在电脑及手机两个终端进行数据传输等。 危害:攻击者可访问手机的任何存储单元 由于电脑可模仿手机展示,因此所有的通知都可在两个终端显示。而手机及电脑可通过USB或者无线网络进行连接。 当装有这款app的LG手机接收来自电脑的连接请求时,会征得用户的同意。Imre Rad发现,与受害者位于同一网络的攻击者可绕过用户的确认请求。 一旦这两个终端建立了连接,电脑控制者可以访问手机上的任何存储单元,可以植入恶意软件并进行长期监控,或提取机密的金融信息。 漏洞编号: 漏洞编号为CVE-2014-8757,影响所有4.3.009及以上版本的app。 系统预装运用OSP进程自动开启且无法停止 Rad创建了一个POC演示,指出多数LG智能机型号均受到影响,且在很多情况下OSP被预先安装,这意味着它是系统app的一部分因此不可能被删除。 此外,这款app会在开机时自动启动且没有按钮可以关闭。然而,这款app似乎并没有在新版智能机上出现安全问题。例如在2014年6月份发布的LG G3并没有预装OSP。 Rad指出,问题在于,管理连接请求的服务器进程并没有按照请求出现的顺序进行配置。因此,服务器可能会在要求连接许可的请求发送之前处理其他请求,如开启视频或处理触屏活动。 OSP是什么: LG On-Screen Phone是LG手机上的一个预装APP,LG官方出品。它方便用户通过PC管理手机,用户可以用USB、蓝牙、wifi连接手机客户端,当有PC连接到 手机客户端的时候,手机上会弹出一个提示,如果用户点击确定,手机屏幕就会投射到PC上。因此用户在PC上的鼠标点击事件都转换为手机上的触摸事件。 演示视频地址: http://my.tv.sohu.com/us/246603286/78392970.shtml |