LG se encuentra entre una de esas compañías que supo retomar la senda del éxito después ese gran LG G2, pero que parece que se ha subido a las ramas para perderse por ellas al no traernos de nuevo lo que significó ese smartphone. No es que se hayan quedado muy atrás con un G3 y G4 que dan la talla, pero se distancia de ese primero mencionado que recibió los aplausos y una gran acogida por parte de la comunidad de Android. Esto es vital para poder obtener ese boca a boca que es esencial para que se corra la voz sobre un teléfono que tiene mucho de lo que desean la mayoría de usuarios. Si ya nos pasamos a lo que es el software que incluyen estos teléfonos, algo que nunca puede ocurrir es que existan agujeros de seguridad.
El fabricante coreano ha corregido una vulnerabilidad encontrada en su LG G3 que los investigadores dijeron que podía potencialmente permitir que un “atacante” pudiera remotamente borrar datos sensibles del usuario guardados en la tarjeta microSD del dispositivo. Se estima que han sido 10 millones de teléfonos G3 los que han tenido esta vulnerabilidad. Lo mejor de todo es que este agujero por el que podía entrar un intruso, ha sido cerrado por lo que ese historial de chat y otro tipo de datos que estuvieran en esa tarjeta micro SD, que nos permite extender enormemente la memoria del teléfono, fueran sustraídos.
Smart Notice
La vulnerabilidad se encuentra en una app de LG llamada Smart Notice. Esta app se encuentra preinstalada en un nuevo LG G3 y se encarga de mostrar una variedad de notificaciones y sugerencias, entre las que se incluye recomendaciones para estar en comunicación con nuestros contactos favoritos, el guardado de la información de contacto de recientes llamadas entrantes y los recordatorios de cumpleaños.
Donde falla la aplicación es al validar los datos presentados a los usuarios, lo que permite que un posible atacante manipule tanto la información del contacto como los datos para así ejecutar código malicioso en terminales afectados.
Al usar la vulnerabilidad, el posible atacante puede acceder fácilmente a los datos que estén ubicados en el dispositivo del usuario y extraer la información privada almacenada en la tarjeta SD, como puede ser las imágenes privadas e historial de conversaciones de WhatsApp. Con esto se pone en grave peligro al usuario ya que es este mismo atacante el que podría instalar código malicioso que realizara otros cometidos.
La solución
Los investigadores que encontraron este problema se pusieron en contacto de inmediato con LG y recomiendan actualizar la app Smart Notice que contiene el parche que corrige este agujero en la seguridad.
Son estos mismos los que han compartido como fueron capaces de realizar el “exploit” al utilizar distintos teléfonos con contactos que contenían código malicioso. Cuando ciertos eventos, como recordatorios de llamadas o notificaciones de cumpleaños, saltaban, Smart Notice ejecutaba erróneamente ese código.
Lo más grave de esta noticia es que son los propios investigadores los que afirman que con poco que hicieron fueron capaces de cargar scripts externos desde un host remoto y actualizar el código en unos cuantos segundos, dándoles la habilidad para activar un comando y tomar el control del teléfono para así cargar nuevos programas. Smart Notice, al usar la aplicación “WebView”, un programador avanzado puede extender la funcionalidad del código, lo que le permite extender sus opciones para hacer casi lo que le venga en gana.
Esta vulnerabilidad fue descubierta y reportada de forma privada por investigadores de la firma de seguridad BugSec Group y Cynet. Así que aquellos que tengan esa app, han de actualizarla cuanto antes para cerrar el paso a esa vulnerabilidad.
Esto también pone en la palestra a la cantidad de datos sensibles que se puede acceder a día de hoy desde un smartphone cuando se deja una vía abierta como sucede con esa app de LG y esa vulnerabilidad, como otras tantas.
El artículo LG soluciona una vulnerabilidad que afectó a millones de teléfonos G3 ha sido originalmente publicado en Androidsis.
Continúar leyendo...