Odkryto dwie usterki o wysokim poziomie istotności dla LG G3, G4 i G5

Zazwyczaj co miesiąc jesteśmy powiadamiani o słabościach systemu Android w przypadku dużych telefonów, takich jak telefony Nexus / Pixel, telefony LG i Samsung, bezpośrednio przez te firmy. Czasami jednak w połowie miesiąca odkryto kilka exploitów i tak właśnie stało się z LG.

Firma MWR Labs opublikowała właśnie dwie luki w zabezpieczeniach dla LG G3, LG G4 i LG G5, które zostały oznaczone jako problemy o wysokim poziomie zagrożenia.

Pierwszy, o którym chcemy porozmawiać, został oznaczony jako Luka w zabezpieczeniach związana z przejściem do aplikacji LG Cloud Backup Path i podobno działa na urządzeniach LG G3, G4 i G5. Ta luka występuje w aplikacji LG SmartShare.Cloud, która jest bramą do różnych usług chmurowych, takich jak Dropbox i Box. W tej aplikacji została odkryta podatność Path Traversal, która umożliwia osobie atakującej zmianę wywołania interfejsu API na Dropbox.

W rezultacie osoba atakująca może udostępnić plik lub folder bez konieczności uwierzytelnienia lub interakcji użytkownika, jeśli zna nazwę pliku lub folderu przechowywanego w Dropbox. Druga usterka wymieniona przez MWR Labs została oznaczona jako LG G3 Arbitrary File Retrieval from Cloud Services, a także podobno wpływa na LG G3, G4 i G5 firmy LG. Ponownie ta luka jest możliwa dzięki aplikacji LG SmartShare.Cloud dostarczonej przez producenta OEM.

Tym razem jednak odkryto lukę, która pozwala osobie atakującej na pobranie pliku z aplikacji SmartShare.Cloud bez uwierzytelnienia lub interakcji użytkownika. Jest to możliwe, ponieważ sama aplikacja uruchamia serwer HTTP nasłuchujący na wszystkich interfejsach, gdy smartfon jest podłączony do sieci Wi-Fi. Obie te luki są możliwe tylko wtedy, gdy osoba atakująca znajduje się w tej samej sieci, w której działa LG G3, G4 lub G5.

Źródło: MWR Labs