Duas Vulnerabilidades de Alta Gravidade Descobertas para o LG G3, G4 e G5
Geralmente, recebemos alertas sobre vulnerabilidades do Android para telefones importantes como os telefones Nexus / Pixel, LG e Samsung, diretamente por essas empresas em uma base mensal. Às vezes, porém, existem algumas façanhas descobertas no meio do mês e isso é o que aconteceu com LG agora.
MWR Labs acaba de publicar duas vulnerabilidades para o LG G3, LG G4 e LG G5 que foram marcados como problemas de alta gravidade.
A primeira sobre a qual queremos falar foi a Vulnerabilidade de Traversal do Caminho de Aplicação de Backup do Cloud da LG, e é dito que funciona nos dispositivos LG G3, G4 e G5. Esta vulnerabilidade está acontecendo com o aplicativo LG SmartShare.Cloud, que é um gateway para vários serviços em nuvem, como Dropbox e Box. Assim, uma vulnerabilidade Path Traversal foi descoberta com esta aplicação que permite a um atacante alterar a chamada da API que está sendo feita para o Dropbox.
Como resultado, um invasor poderia tornar um arquivo ou pasta compartilhável sem exigir autenticação ou interação do usuário se soubesse um nome do arquivo ou pasta armazenada no Dropbox. A segunda vulnerabilidade listada por MWR Labs foi rotulada LG G3 Arbitrary File Retrieval de Cloud Services, e também é dito que afetam o LG G3, G4 eo G5 da LG. Novamente, essa vulnerabilidade é possÃvel devido à aplicação LG SmartShare.Cloud fornecida pelo OEM.
Desta vez, porém, descobriu-se uma vulnerabilidade que permite a um invasor recuperar um arquivo do aplicativo SmartShare.Cloud sem autenticação ou interação do usuário. Isso é possÃvel porque o próprio aplicativo inicia um HTTP Server ouvindo em todas as interfaces quando o smartphone está conectado a uma rede Wi-Fi. Ambas as vulnerabilidades só são possÃveis se o atacante estiver na mesma rede em que o LG G3, G4 ou G5 está ligado.
No comments: