LG G3, G4 и G5 включват два сериозни пропуска в сигурността

Google започна да осигурява редовно поправки за сигурността на Android, но в повечето случаи производителите на телефони забавят доставянето им до устройства на своите клиенти. Допълнителният софтуер, който добавят в устройствата, също не е застрахован срещу бъгове и доказателство за това са откритите от MWR Labs два сериозни пропуска в софтуера на LG G3, G4 и G5, които могат да се използват, ако телефонът и атакуващият са свързани с една и съща мрежа.

Първият е означен като LG Cloud Backup Application Path Traversal Vulnerability и е свързан с приложението LG SmartShare.Cloud, което осигурява достъп до разнообразни облачни услуги като Dropbox и Box. Атакуващият може да използва бъга, за да получи достъп до файл или папка в Dropbox, като е необходимо само да знае името им.

Вторият пропуск е наречен LG G3 Arbitrary File Retrieval from Cloud Services, отново засяга трите смартфона и пак е свързан с приложението LG SmartShare.Cloud. Този път атакуващият може да извлече файл директно от SmartShare.Cloud без разрешение от потребителя. За това помага стартираният от приложението HTTP Server, който следи всички интерфейси при връзка на смартфона с Wi-Fi мрежа.

Източник: XDA Developers, MWR Labs