這星期LG Optimus G被爆存在command injection 漏洞，該款手機的HiddenMenu允許你去執行shell的command!

(新聞來源：http://seclists.org/fulldisclosure/2013/May/166)

 

(圖片來源：http://www.sogi.com.tw/product/productInfo.aspx?pno=9414)

漏洞資訊：
Device – LG Optimus G E973
Firmware – Android 4.1.2 JZO54k

影片：http://www.youtube.com/watch?v=ZfbDIpTY-t4

 

詳細步驟：
1.撥打3845#*xxx#(xxx為手機的型號，此款手機為E973，所以輸入3845#*973#)，視窗會出現HiddenMenu
2.選取WLAN Test
3.選取Wi-Fi Ping Test/User Command
4.選取User Command
5.輸入你想執行的command
6.按下cancel button，即會執行輸入的command

 

今年4月底時，跨平台即時通訊軟體Viber，Android版被發現嚴重漏洞，可繞過螢幕鎖定介面!

(圖片網址：http://upload.wikimedia.org/wikipedia/zh/5/58/Viberlogo.jpg)

由於 Viber 的 "解除鎖定彈出式視窗" 功能產生錯誤，攻擊者可利用 Viber 的彈出訊息功能，在鎖定畫面上喚出訊息，然後按返回鍵，便能將手機解鎖。這漏洞為Viber本身APP的問題，因此不同手機廠牌皆會受影響。

影片：http://www.youtube.com/watch?v=tb4y_1cz8WY

 

今年3月初，市面上熱賣的Samsung Galaxy Note 2也被爆跳過螢幕鎖的漏洞!

(圖片來源：http://www.samsung.com/tw/consumer/mobile-phones/mobile-phones/galaxy-note/GT-N7100RWDBRI-gallery)

在系統螢幕鎖介面點選緊急呼叫，隨後點擊左下方的緊急聯絡人ICE按鈕，再按下Home鍵，此時Home頁面會短暫的出現，只要在適當的時機按下螢幕上首頁相對應的程式就能直接開啟，如此便能繞過系統解鎖介面!

影片：http://www.youtube.com/watch?v=6i-0t63wOII 

 

現代人普遍都擁有智慧型手機，其功能便利，許多原生系統的功能已可做到相當多的事情，加上各廠商客製化了許多功能，以及APP store上的各種應用程式，幾乎包辦了使用者生活中的大小事，儼然已成為人們不可或缺的個人行動助理了，舉凡各種帳號、相片、通訊錄、簡訊、聊天記錄，甚至是電子交易等資料皆存在智慧型手機裡，智慧型手機的安全性因此顯得更加重要!

從以上的例子可以得知，智慧型手機的威脅，並不是只有避免安裝惡意的APP而已，連手機本身韌體和APP的漏洞也該注意，從PC、個人行動裝置到non-PC的設備，現在的資安威脅已愈趨複雜，全民資安意識絕對是必要的!