LG behebt Lücke in vorinstallierter App auf dem LG G3
Über die Smart-Notice-App erlaubt sie das Einschleusen von JavaScript-Code. Ein betroffenes Gerät lässt sich dann von einem Angreifer aus der Ferne kontrollieren, der daraufhin etwa private Daten von der SD-Karte auslesen kann.
LG hat eine Anfälligkeit in einer App beseitigt, die es auf seinen Android-Smartphones ab Werk installiert. Entdeckt haben die Schwachstelle Forscher der Sicherheitsanbieter BugSec und Cynet. Ihnen zufolge betrifft die Lücke ausschließlich das LG G3. Ein Angreifer, der diese ausnutzt, könnte gegebenenfalls beliebigen JavaScript-Code ausführen.
Die SNAP genannte Lücke in der Smart-Notice-Anwendung erlaube das Entwenden persönlicher Daten, Phishing-Attacken und auch Denial-of-Service-Angiffe, heißt es in einem Blogbeitrag. Smart Notice zeige Anwendern Benachrichtigungen an. Diese lassen sich laut den Forschern aber auch zum Einschleusen von Schadcode einsetzen.
In einem Youtube-Video demonstrieren sie, wie sich die Lücke mit einer speziell gestalteten Visitenkarte ausnutzen lässt, die den schädlichen Code im Feld “Name” enthält. Die Visitenkarte selbst könne per Social Engineering eingeschleust werden, so etwa über einen QR-Code, der das Speichern der Kontaktdaten verlange. Für den Anwender komme erschwerend hinzu, dass der schädliche Code für ihn nicht sichtbar sei.
Nachdem der Code ausgeführt wurde, hatten die Forscher unter anderem Zugang zu sämtlichen auf einer SD-Karte gespeicherten Daten, etwa zu privaten Bildern. Das Einblenden einer gefälschten Anmeldeseite für einen Onlinedienst wie Googles Gmail ist zur Irreführung des Nutzers dabei aber ebenso möglich wie Benachrichtigungen, die Anwender dazu auffordern, als harmlose Dateien getarnte Schadsoftware herunterzuladen.
Die Smart-Notice-App überprüfe nicht die Daten, die sie einem Nutzer anzeige, heißt es weiter in dem Blogbeitrag. “Mit ein paar Änderungen waren wir in der Lage, externe Skripte von einem Remote-Server zu laden und unseren eigenen Code alle paar Sekunden zu aktualisieren, was es uns erlaubte, das LG-Telefon zu kontrollieren und zu steuern.” Auch ein Denial-of-Service-Angriff, der nur mit einem Hardreset beendet werden könne, sei möglich.
BugSec und Cynet empfehlen Besitzern eines LG G3, ihr Gerät auf die neueste Smart-Notice-Version zu aktualisieren. Ihr Blogbeitrag enthält jedoch keinen Hinweis darauf, auf welche Weise LG das Update ausliefert. Einem Leser von The Register zufolge wird der Patch im Update Center offeriert. Anwender, die einen alternativen Launcher wie Nova nutzen, sind von der Lücke nicht betroffen. Smart Notice steht nämlich ausnahmslos für die Standard-LG-Oberfläche zur Verfügung.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de