LG旗艦手機G3的內建程式含有資料竊取漏洞 - 手機討論

心得:

Smart Notice是不是G2 GPRO2 G4都有阿，只有G3中標而已嗎

另外Smart Notice真的好用嗎? 手機剛拿到預設開啟，我都直接把它關掉

另外安全漏洞提到他們是因為Smart Notice的WebView元件支援JavaScript的執行而造成

漏洞發生，可是在 5.0之後，WebView不是都可以透過Google Play更新了嗎?

不知道這是G3獨有還是沒更新WebView的手機都會遇到此情形?

----------------------------------------------------------------
http://www.ithome.com.tw/news/103667

Smart Notice則是G3內建的通知功能，預設值是開啟的，可用來顯示各種通知資訊，也能
建議使用者將某人的聯絡資訊納入通訊錄，然而，資安業者發現它的驗證功能含有安全漏
洞，允許駭客夾帶惡意程式，竊取使用者資料，或是進行網釣攻擊與阻斷服務攻擊。



資安業者BugSec與Cynet在本周披露，LG在2014年發表的旗艦手機G3所內建的「智慧通知
」（Smart Notice）程式含有重大的安全漏洞，將允許駭客注入惡意的JavaScript程式，
以竊取使用者資料，或是進行網釣攻擊與阻斷服務攻擊，將影響市場上數百萬台的G3，呼
籲使用者儘快部署LG近日所釋出的修補程式。

採用Android平台的G3為LG所開發的高階智慧型手機，並於2014年進入台灣市場，當時最
低規格的空機價為20900元新台幣。

Smart Notice則是G3內建的通知功能，預設值是開啟的，可用來顯示各種通知資訊，也能
建議使用者將某人的聯絡資訊納入通訊錄，然而，資安業者發現它的驗證功能含有安全漏
洞，允許駭客夾帶惡意程式。

研究人員說明，Smart Notice使用與Chrome瀏覽器一致的WebView元件，以用來展示網路
內容，該元件亦支援JavaScript的執行，若駭客在聯絡資訊中注入惡意程式，就能輕易進
入使用者裝置並竊取儲存在SD卡中的資料，也能啟用手機瀏覽器，並誘導使用者下載其他
程式，還能讓裝置進入無限迴圈。

在開採該漏洞的測試中，研究人員打造了一個惡意的聯絡資訊，一旦被Smart Notice的回
撥提醒或生日提醒事件觸發，就會執行潛藏的惡意程式，還能連結遠端伺服器以更新惡意
程式。


--