Как выяснили израильские ИБ-исследователи из компаний BugSec и Cynet, персональные данные пользователей популярного Android-смартфона LG могут быть скомпрометированы из-за содержащегося в устройстве бага, получившего название SNAP.

В качестве лазейки потенциальные злоумышленники могут использовать уязвимое штатное приложение Smart Notice, которое предустановлено на устройствах LG G3. Насколько известно экспертам, другие Android-смартфоны, даже от LG, не находятся в зоне риска: по умолчанию «дырявое» приложение установлено только на G3.

SNAP позволяет исполнить на уязвимом смартфоне произвольный JavaScript-код. Это, в свою очередь, может повлечь утечку данных, фишинговые атаки и сбои в работе устройства. Smart Notice отображает последние полученные уведомления в виде всплывающих окон («карточек»). Этот механизм дает злоумышленникам возможность обманом заставить пользователя внедрить вредоносный код, минуя аутентификацию. Приложение по умолчанию не валидирует данные, загружаемые пользователем, — это довольно расхожая ошибка программирования.

В результате атаки пользователь может лишиться конфиденциальных данных — например, информации, хранящейся на SD-карте, или данных и изображений из WhatsApp. Обладателя смартфона с багом также могут обвести вокруг пальца фишеры и злоумышленники, использующие drive-by-эксплойты. Пользователю нужно только загрузить вредоносное уведомление — дальше все происходит без его ведома или участия.

Исследователи смогли должным образом уведомить LG, которая выпустила обновленную версию Smart Notice с патчем, и теперь дело за пользователями. Производитель настойчиво рекомендует им как можно скорее загрузить обновление.

Категории: Уязвимости