Zwei Sicherheitslücken mit hohem Schweregrad für LG G3, G4 und G5 entdeckt

In der Regel werden wir monatlich direkt von diesen Unternehmen auf Android-Sicherheitslücken für wichtige Telefone wie Nexus / Pixel-Telefone, LG- und Samsung-Telefone aufmerksam gemacht. Manchmal werden jedoch Mitte des Monats einige Exploits entdeckt, und genau das ist derzeit mit LG passiert.

MWR Labs hat gerade zwei Sicherheitslücken für das LG G3, LG G4 und LG G5 veröffentlicht, die als schwerwiegende Probleme eingestuft wurden.

Das erste Problem, über das wir sprechen möchten, wurde als Sicherheitsanfälligkeit in Bezug auf den Anwendungspfad in der LG Cloud Backup bezeichnet. Es soll auf den LG G3-, G4- und G5-Geräten funktionieren. Diese Sicherheitsanfälligkeit tritt bei der LG SmartShare.Cloud-Anwendung auf, bei der es sich um ein Gateway zu verschiedenen Cloud-Diensten wie Dropbox und Box handelt. Daher wurde mit dieser Anwendung eine Path Traversal-Sicherheitsanfälligkeit entdeckt, die es einem Angreifer ermöglicht, den API-Aufruf an Dropbox zu ändern.

Infolgedessen kann ein Angreifer eine Datei oder einen Ordner freigeben, ohne dass eine Authentifizierung oder Benutzerinteraktion erforderlich ist, wenn er den Namen der in Dropbox gespeicherten Datei oder des Ordners kennt. Die zweite von MWR Labs aufgeführte Sicherheitsanfälligkeit wurde als "LG G3 Arbitrary File Retrieval" von Cloud Services bezeichnet. Sie soll auch die LG G3, G4 und G5 von LG betreffen. Diese Sicherheitsanfälligkeit kann wiederum durch die vom OEM bereitgestellte LG SmartShare.Cloud-Anwendung verursacht werden.

Diesmal wurde jedoch eine Sicherheitsanfälligkeit entdeckt, die es einem Angreifer ermöglicht, eine Datei ohne Authentifizierung oder Benutzerinteraktion aus der SmartShare.Cloud-Anwendung abzurufen. Dies ist möglich, da die Anwendung selbst einen HTTP-Server startet, der alle Schnittstellen überwacht, wenn das Smartphone mit einem WiFi-Netzwerk verbunden ist. Beide Sicherheitsanfälligkeiten sind nur möglich, wenn sich der Angreifer in demselben Netzwerk befindet, in dem sich das LG G3, G4 oder G5 befindet.

Quelle: MWR Labs