LG G3 bekommt Update gegen Datenleck in Smart Notice

Mit dem LG G3 hatte der südkoreanische Konzern seinen ersten ganz großen Erfolg im Geschäft mit Android verzeichnen können und noch heute ist das Android Smartphone äußerst beliebt. Umso erfreulicher sind Neuigkeiten, wenn das ehemalige Flaggschiff noch immer mit neuen Updates bedacht wird – vor allem wenn diese eine schwere Sicherheitslücke schließen.

Entdeckt haben die angesprochene Lücke die beiden Forscher Liran Segal und Shachar Korot des Sicherheitsunternehmens Cynet. Anstatt jedoch die Details zu den Hintergründen zu veröffentlichen, haben die Forscher sich zuerst an LG gewandt, welche daraufhin die Lücke in der Funktion Smart Notice (zum Beitrag) geschlossen haben. Die ersten LG G3 Modelle sollten mittlerweile das Update angeboten bekommen.

Wichtiges Update für das LG G3

Das Perfide an der Sicherheitslücke ist der Punkt, dass Smart Notice diverse Informationen für den Nutzer bereitstellen soll, sobald diese wichtig werden. Allerdings überprüft die Funktion, die auf jedem LG G3 vorinstalliert ist,l nicht die Integrität der Daten und bietet somit das perfekte Einfallstor für Angreifer, um Schadcode einzuschleusen.

Die beiden Forscher haben in einem Video über die SNAP getaufte Lücke demonstriert, wie sich mit relativ einfachen Mitteln persönliche Daten wie Chat-Verläufe, SMS-Nachrichten und andere Daten auslesen lassen. Selbst das Unterschieben weiterer Malware ist auf diese Weise möglich, wie es weiter in dem Blogartikel der Forscher heißt. Einfallstor waren dabei jeweils manipulierte Kontaktdaten auf den Geräten.

Sobald der Geburtstag eines Kontaktes oder eine verknüpfte Erinnerung ansteht, wird der versteckte Code ausgeführt und könnte sogar zu Phishing- sowie Denial-of-Service-Attacken auf das LG G3 führen. Da Smart Notice auf Basis einer WebView-Ansicht arbeitet, könnten findige Entwickler sogar über JavaScript-Code externe Server-Anwendungen ausführen lassen, um mittels Callback-Funktionen weiteren Schadcode nachzuladen.

Man sieht also, dass die Lücke durchaus als sehr ernst einzustufen ist. LG hat wie bereits erwähnt schon reagiert und stellt ein Update für Smart Notice auf dem LG G3 zur Verfügung, welches umgehend installiert werden sollte. Da es sich um eine vorinstallierte App handelt, wird sich das Update an sich wohl auf ein OTA-Update hinaus laufen, um alle potentiellen Reste der manipulierbaren App zu entfernen und gegen eine sichere Version auszutauschen.

Ändert aber nichts daran, dass es sich nach wie vor um ein tolles Smartphone handelt, welches uns damals im nachfolgenden Test sehr begeistern konnte.

[Test] LG G3 – So sehen Sieger aus!

Wann jedoch jeder Besitzer eines der mehr als 10 Millionen LG G3 (zum Beitrag) das Update erhält, ist schwer zu sagen. Denn LG kann zwar die Firmware für freie Geräte zum Download bereitstellen, jedoch erfolgt die Verteilung in mehreren Wellen und mitunter wollen auch Netzbetreiber noch ein Wörtchen bei der Verteilung mitreden, beziehungsweise die neue Firmware mit den eigenen Netzen auf etwaige Probleme hin testen. Von daher könnte es sich noch einige Wochen hinziehen, bis jeder potentiell gefährdete G3-Besitzer das wichtige Update erhalten hat.

Damit zeigt sich jedoch auch mal wieder, dass nicht nur Android selbst von größeren Sicherheitslücken geplagt wird, sondern auch Hersteller-eigene Funktionen Einfallstor für Angreifer sein können.

[Quelle: ars technica]