LG distribue actuellement une importante mise à jour de son application mobile Smart Notice pour ses smartphones G3. La nouvelle mouture corrige une faille de sécurité dont le constructeur a été averti par la société Cynet. Dans un billet, celle-ci explique que cette brèche peut permettre une récupération de données personnelles.
Le G3 de LG est fourni par défaut avec une application nommée Smart Notice. Elle est chargée de fournir différentes notifications et recommandations liées aux contacts. Elle pourra par exemple signaler les anniversaires, proposer de sauvegarder les informations liées au dernier appel entrant pour créer un nouveau contact, et suggère différentes manières de rester en contact avec certaines personnes.
La brèche permet le vol d'informations
Mais l’application comporte une faille. Découverte par la société de sécurité Cynet, elle permettrait à un attaquant de voler « des données, d’extraire les informations privées sur la carte SD, y compris les données de WhatsApp et les images privées », permettre l’installation de malwares, déclencher des exécutions arbitraires de code JavaScript ou encore exposer l’appareil à des attaques par déni de service.
Le danger vient du fait que le G3 est un appareil relativement courant, Cynet indiquant qu’environ dix millions de personnes l’ont actuellement. D’autre part, la présence systématique de l’application fait que tous les appareils sont vulnérables, à moins bien sûr qu’elle ait été manuellement supprimée, par souhait d’une configuration plus minimale, ou lors d’un passage à un système alternatif comme Cyanogen.
Le code malveillant planqué dans des contacts
L’exploitation de la faille est passée, dans le cas de Cynet, par l’envoi de contacts dont les fiches contenaient du code malveillant. Ce dernier se manifestait dans les alertes, comme les notifications d’anniversaire, Smart Notice exécutant alors le code sans se méfier. Les chercheurs sont même parvenus avec un peu de patience à faire exécuter du code malveillant à distance, prendre le contrôle de l’appareil et provoquer l’installation d’autres malwares.
Le problème, tel qu’expliqué par Cynet, réside dans le fait que Smart Notice se base sur un composant WebView, donc pouvant afficher une page classique. Le but de l’exploitation était de réussir à injecter dans ce contenu web du code JavaScript. Les chercheurs ont réussi l’exploitation sur deux scénarios, l’un s’appuyant sur la fonction d’alerte pour les anniversaires, l’autre sur les notifications invitant à rappeler un contact. Ils ont alors détourné le rôle des boutons correspondants avec succès.
Les utilisateurs invités à mettre rapidement à jour leur smartphone
Ils ont également créé plusieurs POC (proof-of-concept) permettant diverses actions. Le premier permet ainsi, comme indiqué précédemment, de dérober les fichiers stockés sur la carte SD. Un autre permet de surcharger le smartphone en requêtes (DoS), et un dernier permet d’obliger le navigateur à ouvrir la page web souhaitée par l’attaquant. Quant aux vecteurs d’attaque, Cynet en aborde deux : les QR Codes et les envois de contacts par MMS ou à travers des messageries telles que WhatsApp.
Évidemment, si Cynet donne autant d’informations détaillées, c’est que la nouvelle version de Smart Notice est déjà proposée au téléchargement. Les utilisateurs sont donc invités à mettre à jour leur smartphone aussi rapidement que possible. Cynet indique dans son rapport que le constructeur a d'ailleurs été assez réactif après le signalement du problème.
