To sårbarheter med høy alvorlighet oppdaget for LG G3, G4 og G5

Vi blir generelt varslet om Android-sårbarheter for store telefoner som Nexus / Pixel-telefoner, LG og Samsung-telefoner direkte av disse selskapene på månedlig basis. Noen ganger er det imidlertid noen utnyttelser som ble oppdaget i midten av måneden, og det er det som har skjedd med LG akkurat nå.

MWR Labs har nettopp publisert to sårbarheter for LG G3, LG G4 og LG G5 som er merket som problemer med høy alvorlighet.

Den første vi vil snakke om har blitt merket LG Cloud Backup Application Path Traversal Vulnerability, og det sies å fungere på LG G3, G4 og G5-enhetene. Dette sikkerhetsproblemet skjer med LG SmartShare.Cloud-applikasjonen, som er en inngangsport til forskjellige skytjenester som Dropbox og Box. Så en Path Traversal-sårbarhet ble oppdaget med dette programmet som lar en angriper endre API-anropet som blir gjort til Dropbox.

Som et resultat kan en angriper gjøre en fil eller mappe delbar uten å kreve godkjenning eller brukerinteraksjon hvis de visste navnet på filen eller mappen som er lagret i Dropbox. Det andre sikkerhetsproblemet som er oppført av MWR Labs, er merket LG G3 arbitrær filhenting fra Cloud Services, og det sies også at det påvirker LG G3, G4 og G5 fra LG. Igjen er dette sikkerhetsproblemet mulig på grunn av LG SmartShare.Cloud-applikasjonen som er levert av OEM.

Denne gangen ble det imidlertid oppdaget en sårbarhet som lar en angriper hente en fil fra SmartShare.Cloud-applikasjonen uten godkjenning eller brukerinteraksjon. Dette er mulig fordi selve applikasjonen starter en HTTP-server som lytter på alle grensesnitt når smarttelefonen er koblet til et WiFi-nettverk. Begge disse sårbarhetene er bare mulig hvis angriperen er i det samme nettverket som LG G3, G4 eller G5 er på.

Kilde: MWR Labs