2024-03-29 15:00 (금)
[영상] LG G3스마트폰서 임의의 자바스크립트 실행 가능 취약점
상태바
[영상] LG G3스마트폰서 임의의 자바스크립트 실행 가능 취약점
  • 길민권
  • 승인 2016.02.01 17:33
이 기사를 공유합니다

LG스마트폰에 설치되는 Smart Notice에 존재…현재는 패치
BugSec, Cynet 연구원들은 최근 LG G3안드로이드 스마트폰에서 공격자가 임의의 자바스크립트 코드를 실행할 수 있는 취약점을 찾아냈다.
 
이 취약점은 팝업공지를 디스플레이하기 위해 LG스마트폰에 설치되는 Smart Notice에 존재한다. SNAP라고 명명된 이 취약점은 약 천만대의 디바이스에 영향을 미치며 공격자는 이를 이용하여 정보 탈취, 피싱공격, DoS공격 등을 수행할 수 있다.
 
이 취약점이 주요 원인은 Smart Notice가 사용자에게 보여지는 데이터에 대한 검증을 하지 않는 것이다. 다양한 공격벡터가 가능하며 생일 알림, 부재중 통화 알림 등을 통한 기본적인 공격벡터 이외에도 QR코드, Whatsapp/MMS를 통한 공격 역시 가능하다.
 
연구원들은 영상을 통해 이름 항목에 악성코드가 포함된 연락처를 보내어 디바이스가 그것을 저장하게 만들고 이를 통해 스마트폰의 SD카드에서 정보를 추출, 브라우저 오픈 등의 공격을 시연하기도 했다.
 
LG측에서는 취약점에 대해 보고받은 후 곧바로 패치를 한 것으로 알려졌다. 다음은 이번 취약점을 설명하는 유투브 영상이다.

 

★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★