Les smartphones G3, G4 et G5 de LG touchés par deux failles critiques dans SmartShare

La mise à jour déjà disponible 7
En bref
image dediée
Crédits : billyfoto/iStock
Sécurité
Vincent Hermann

Les smartphones G3, G4 et G5 de LG sont vulnérables à deux failles de sécurité. Exploitées, elles peuvent permettre la modification de données dans le cloud, via un composant servant de porte d’accès à plusieurs services, dont Dropbox.

Les deux failles sont considérées comme critiques et ont été découvertes par la société de sécurité MWR Labs. Elles sont liées au même composant, SmartShare.Cloud. Il sert normalement de portail d’accès vers tout un ensemble de services en ligne, notamment de stockage. Des accès vers Dropbox et Box peuvent par exemple y être configurés.

Un portail d'accès, mais sans gardien

La première vulnérabilité, nommée « Backup Application Path Traversal », est particulièrement dangereuse. Si un utilisateur malveillant se trouve sur le même réseau que la victime, il peut modifier en temps réel un appel vers l’API (Application Programming Interface) de LG et modifier le paramètre URL. Il peut alors cibler des fichiers et dossiers et les rendre partageables, sans autorisation et sans même que l’utilisateur ciblé en soit informé par une quelconque notification.

La seconde faille, nommée « Arbitrary File Retrieval », est exploitable assez facilement. Et ce pour une raison simple : le composant SmartShare.Cloud s’active automatiquement sur un serveur HTTP, qui écoute alors sur l’ensemble des interfaces. Sur une connexion Wi-Fi, le composant estime à cause de la faille qu’il s’agit d’une action locale et ne réclame donc aucune identification. Comme le nom l’indique, elle permet de récupérer des données, encore une fois sans que la victime le sache.

Notez que cette deuxième faille est décrite comme normalement liée au modèle G3 du constructeur. Cependant, les chercheurs sont arrivés à la reproduire sur les G4 et G5. Les trois smartphones sont donc bien touchés par les deux failles.

Un correctif à installer rapidement

Si l’utilisateur dispose au moins de la version 2.4.0 de SmartShare.Cloud, il ne court plus de risque. Si ce n’est pas le cas, il est invité à récupérer la mise à jour aussi rapidement que possible.

On notera que le temps de correction a tout de même été assez long. Les deux failles ont été signalées au début de juillet dernier. Un mois plus tard, le constructeur informe MWR Labs qu’une solution a été trouvée. Mais il faudra attendre octobre pour qu’un patch soit prêt à la diffusion, et décembre pour que le bulletin de sécurité l’aborde. La société de sécurité n’évoque les soucis que maintenant, après l’attente classique d’une période de sûreté, afin que les correctifs soient installés sur une majorité de smartphones

Dans tous les cas, cette brèche renvoie vers une problématique que nous avons abordé pas plus tard que ce matin avec l'extension Chrome d'Adobe : l'installation par défaut d'applications augmente d'autant le champ de possibilité des failles et donc la surface d'attaque à disposition des pirates.


chargement
Chargement des commentaires...