LG corrige une faille affectant plusieurs millions de G3

Des chercheurs en sécurité ont récemment découvert une sérieuse vulnérabilité affectant des millions de smartphones commercialisés par LG.

Le constructeur LG aurait commercialisé 10 millions de G3 et le terminal est livré avec une alternative à Google Now baptisée Smart Notice. Cet assistant retourne un certain nombre d'informations et de notifications au mobinaute. Seulement cette application présentait une vulnérabilité. Selon les chercheurs de BugSec et Cynet, il était possible à un hackeur malintentionné d'exploiter ce dispositif pour injecter du code malveillant.

Smart Notice suggère plusieurs informations à l'utilisateur, par exemple des rappels d'anniversaires, des tâches à effectuer ou encore des suggestions de contacts récents à ajouter au carnet d'adresses. Or ces données n'étaient pas sécurisées et les chercheurs ont été capables d'envoyer des suggestions de fiches de contacts ou des rappels vérolés et exécutant du code malveillant.

En utilisant cette vulnérabilité, baptisée SNAP, un hacker pouvait en outre extraire des données personnelles sauvegardées sur la carte SD, notamment les échanges de WhatsApp et les photos privées. Il était également possible d'ouvrir le navigateur et de le pointer vers n'importe quelle page vérolée pour procéder par exemple à une attaque par cross-scripting.

Mis au courant, le constructeur LG a déployé une mise à jour et l'ensemble des mobinautes est invité à installer cette dernière le plus rapidement possible.