Milioni di utenti di smartphone LG G3 rischiano di perdere i dati personali a causa di un grave problema di sicurezza definito come la vulnerabilità ‘SNAP’.
Questa vulnerabilità è talmente grave che può portare al furto di dati, denial of service (DoS) e attacchi di phishing su LG smartphone G3.
La vulnerabilità è stata identificata dai ricercatori BugSec Shachar Korot e Liran Segal e permette ad un aggressore di lanciare un codice JavaScript su nuovi dispositivi LG.
“La causa principale del problema di sicurezza è è data dalla funzione di ntifiche intelligenti di LG che non convalida i dati presentati per gli utenti.
I dati possono essere presi dai contatti telefonici e manipolati. ”
In particolare, il suddetto ricercatore ha rilevato che diverse funzionalità intelligenti , quali suggerire un nuovo contatto, ricordare un compleanno, ecc… possono essere sfruttate per l’esecuzione di un attacco con “Snap”.
Segal e Korot hanno analizzato a fonfo la questione creando un gruppo di ricerca per la sicurezza e per condurre diversi test.
Il team ha inserito un contatto “maligno”, contenente uno script dannoso incorporato nel nome del contatto, e questo è stato innescato da Callback e dal promemoria dei compleanni.
Questo metodo cosente al team di eseguire il codice WebView sul telefono e acquisire il comando attivo e il controllo del telefono per inviare nuovi payloads.
Vari payloads sono stati facilmente utilizzati dai ricercatori nel corso della loro ricerca.
Ciò ha incluso la raccolta dei dati dalla scheda SD presente nel telefono tramite una funzione di “open_url” per attivare qualsiasi sito web di terze parti malintenzionato, una normale pagina web o una pagina di phishing e creare un ciclo infinito per collocare il telefono cellulare fuori uso in modo efficace fino a che la vittima non effettua un hard-reset.
Potete guardare il video della vulnerabilità SNAP su YouTube :