安全通報2013-05-29:您所不知道的smart phone的威脅

這星期LG Optimus G被爆存在command injection 漏洞,該款手機的HiddenMenu允許你去執行shell的command!

(新聞來源:http://seclists.org/fulldisclosure/2013/May/166)

 

1

(圖片來源:http://www.sogi.com.tw/product/productInfo.aspx?pno=9414)


漏洞資訊:
Device – LG Optimus G E973
Firmware – Android 4.1.2 JZO54k

影片:http://www.youtube.com/watch?v=ZfbDIpTY-t4

 

詳細步驟:
1.撥打3845#*xxx#(xxx為手機的型號,此款手機為E973,所以輸入3845#*973#),視窗會出現HiddenMenu
2.選取WLAN Test
3.選取Wi-Fi Ping Test/User Command
4.選取User Command
5.輸入你想執行的command
6.按下cancel button,即會執行輸入的command

 

今年4月底時,跨平台即時通訊軟體Viber,Android版被發現嚴重漏洞,可繞過螢幕鎖定介面!

3

(圖片網址:http://upload.wikimedia.org/wikipedia/zh/5/58/Viberlogo.jpg)

由於 Viber 的 "解除鎖定彈出式視窗" 功能產生錯誤,攻擊者可利用 Viber 的彈出訊息功能,在鎖定畫面上喚出訊息,然後按返回鍵,便能將手機解鎖。這漏洞為Viber本身APP的問題,因此不同手機廠牌皆會受影響。

影片:http://www.youtube.com/watch?v=tb4y_1cz8WY

 

今年3月初,市面上熱賣的Samsung Galaxy Note 2也被爆跳過螢幕鎖的漏洞!

2

(圖片來源:http://www.samsung.com/tw/consumer/mobile-phones/mobile-phones/galaxy-note/GT-N7100RWDBRI-gallery)

在系統螢幕鎖介面點選緊急呼叫,隨後點擊左下方的緊急聯絡人ICE按鈕,再按下Home鍵,此時Home頁面會短暫的出現,只要在適當的時機按下螢幕上首頁相對應的程式就能直接開啟,如此便能繞過系統解鎖介面!


影片:http://www.youtube.com/watch?v=6i-0t63wOII 

 

現代人普遍都擁有智慧型手機,其功能便利,許多原生系統的功能已可做到相當多的事情,加上各廠商客製化了許多功能,以及APP store上的各種應用程式,幾乎包辦了使用者生活中的大小事,儼然已成為人們不可或缺的個人行動助理了,舉凡各種帳號、相片、通訊錄、簡訊、聊天記錄,甚至是電子交易等資料皆存在智慧型手機裡,智慧型手機的安全性因此顯得更加重要!

從以上的例子可以得知,智慧型手機的威脅,並不是只有避免安裝惡意的APP而已,連手機本身韌體和APP的漏洞也該注意,從PC、個人行動裝置到non-PC的設備,現在的資安威脅已愈趨複雜,全民資安意識絕對是必要的!

 

One thought on “安全通報2013-05-29:您所不知道的smart phone的威脅

  1. Hola! I’ve been following your weblog to get a when now and finally got the courage to go ahead and provide you with a shout out from Porter Texas! Just wanted to inform you keep up the great job!

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

*