-
-
研究人员发现LG手机漏洞
-
发表于: 2015-7-7 09:52 1729
-
新闻链接:http://www.seehand.com/news/794.html
新闻时间:2015年7月3日
新闻正文:
LG公司生产的多款智能手机存在漏洞,可导致攻击者以恶意APK文件替代安全文件。
这个问题是由一系列原因造成的。像很多其他制造商一样,LG在手机中安装了独特的应用,无法通过Google Play获得。这些应用都是预安装的,并且尤其各自的更新机制连接到LG服务器并下载新的代码。匈牙利公司Search-Lab的研究人员发现,这些应用程序的更新并不检查连接到服务器的SSL证书的安全性,这使得MitM攻击有机可乘。
LG智能手机的更新过程由应用程序Update Center控制,每当应用程序要求更新时连接到服务器lgcpm.com. 它可以自动进行更新;另据研究人员介绍,MitM攻击者可以据此拦截更新内容,并以恶意版本替换目标应用。
“在升级过程中,客户端会扫描appUrl域,包括加密和base64编码的URL链接。对应和基于certKey域的加密密钥,也是消息的一部分。因为对发送消息的检查缺乏完整性,攻击者可以拦截对更新请求的回应,改变URL上的appUrl值,指向潜在的恶意软件,”专家们表示:“这样一来,设备对用户下载了攻击者资源控制的APK文件毫不知情。一旦Update Center 将其鉴定为一种新型的LG更新,就可能出现类似问题。”
Search-Lab专家们早在去年11月就宣布了这一漏洞,作为回应,供应商仅计划在后来新出的机型中消除这一漏洞,而旧有机型就被忽略了。作为一个临时解决方案,他们建议关闭Auto app update自动更新功能,防止手机漏洞。
“如果说智能手机供应商高要求的是与应用更新有关的操作解决方案,则在目前的情况下,LG的这个漏洞尤为脆弱;该公司已经做出了商业决定,不会讲广大用户置于风险之中,至少‘在不远的将来’”。Search-Lab的Imre Rad说道。
LG公司代表则表示,他们正在研究上述报告。
新闻时间:2015年7月3日
新闻正文:
LG公司生产的多款智能手机存在漏洞,可导致攻击者以恶意APK文件替代安全文件。
这个问题是由一系列原因造成的。像很多其他制造商一样,LG在手机中安装了独特的应用,无法通过Google Play获得。这些应用都是预安装的,并且尤其各自的更新机制连接到LG服务器并下载新的代码。匈牙利公司Search-Lab的研究人员发现,这些应用程序的更新并不检查连接到服务器的SSL证书的安全性,这使得MitM攻击有机可乘。
LG智能手机的更新过程由应用程序Update Center控制,每当应用程序要求更新时连接到服务器lgcpm.com. 它可以自动进行更新;另据研究人员介绍,MitM攻击者可以据此拦截更新内容,并以恶意版本替换目标应用。
“在升级过程中,客户端会扫描appUrl域,包括加密和base64编码的URL链接。对应和基于certKey域的加密密钥,也是消息的一部分。因为对发送消息的检查缺乏完整性,攻击者可以拦截对更新请求的回应,改变URL上的appUrl值,指向潜在的恶意软件,”专家们表示:“这样一来,设备对用户下载了攻击者资源控制的APK文件毫不知情。一旦Update Center 将其鉴定为一种新型的LG更新,就可能出现类似问题。”
Search-Lab专家们早在去年11月就宣布了这一漏洞,作为回应,供应商仅计划在后来新出的机型中消除这一漏洞,而旧有机型就被忽略了。作为一个临时解决方案,他们建议关闭Auto app update自动更新功能,防止手机漏洞。
“如果说智能手机供应商高要求的是与应用更新有关的操作解决方案,则在目前的情况下,LG的这个漏洞尤为脆弱;该公司已经做出了商业决定,不会讲广大用户置于风险之中,至少‘在不远的将来’”。Search-Lab的Imre Rad说道。
LG公司代表则表示,他们正在研究上述报告。
赞赏
看原图
赞赏
雪币:
留言: