LG G5: Forscher warnen vor schwerwiegenden Sicherheitslücken

MobileMobile OS
LG G5 (Bild:: LG)

Sie stecken auch in den Vorgängermodellen G4 und G3. Angreifer erhalten unter Umständen Zugriff auf Dateien, die die LG-Smartphones im Hintergrund automatisch auf Box oder Dropbox speichern. LG hat bereits mit der Verteilung von Patches für die zwei Schwachstellen begonnen.

Der Sicherheitsanbieter MWR InfoSecurity hat zwei Sicherheitslücken in Smartphone-Software von LG öffentlich gemacht. Davon betroffen sind die Flaggschiff-Modelle G3, G4 und das im vergangenen Jahr vorgestellte G5. Angreifer können unter Umständen auf Dateien eines Nutzers zugreifen, die der auf den Cloud-Speicherdiensten Box oder Dropbox abgelegt hat.

LG G5 (Bild:: LG)

Die Fehler stecken in der Anwendung LG Smart.Share.Cloud. Dabei handelt es sich laut MWR um eine Gateway-App, die nativen Anwendungen einen Zugang zu Clouddiensten wie Dropbox und Box bietet. Ein Hacker muss jedoch den Namen einer Datei oder eines Ordners kennen, um darauf zugreifen zu können.

Im ersten Fall sind Geräte angreifbar, die ein WLAN-Netzwerk benutzen. Der Sicherheitswarnung zufolge startet die anfällige App einen HTTP-Server. Wird die App für ein Cloud-Backup auf Box oder Dropbox benutzt, können unbefugte Dritte im selben WLAN-Netzwerk Mediendateien des Nutzers ohne Eingabe eines Passworts oder Nutzernamen von Box oder Dropbox herunterladen.

Bei der zweiten Schwachstelle handelt es sich um einen Path-Traversal-Bug, der es erlaubt, API-Aufrufe an Dropbox mithilfe spezieller URL-Parameter zu manipulieren. Als Folge können zwar keine Dateien heruntergeladen werden, ein Hacker könnte jedoch ihm bekannte Dateien oder Ordner in der Dropbox seines Opfers für beliebige Nutzer freigeben – und zwar ohne Interaktion mit dem eigentlichen Besitzer.

LG hat laut MWR InfoSecurity inzwischen Patches für die Schwachstellen veröffentlicht. Ein Fix findet sich demnach in der Version 2.4 der App LG Smart.Share.Cloud. LG zufolge sollten Geräte mit der Android-Sicherheitspatch-Ebene 1. Dezember 2016 nicht anfällig sein. Von den Lücken wusste das koreanische Unternehmen bereits seit Anfang Juli 2016.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de