QR code per la pagina originale

LG G3, grave vulnerabilità in Smart Notice

Un bug scoperto nell'app Smart Notice installata sul G3 permette il furto dei dati personali: LG ha già rilasciato un aggiornamento che risolve il problema.

,

I ricercatori di BugSec e Cynet hanno scoperto una grave vulnerabilità in Smart Notice, un’applicazione preinstallata sul G3 di LG che visualizza le notifiche in forma di card, in modo simile a Google Now. Il bug, che potrebbe consentire il furto di dati sensibili, è stato prontamente risolto dal produttore coreano, anche se non sono ancora in circolazione exploit che possono sfruttare la vulnerabilità.

Smart Notice visualizza sulla schermata home dello smartphone diverse informazioni, come previsioni del tempo, compleanni degli amici e condizioni del traffico. Il bug, denominato SNAP dai ricercatori di sicurezza, consente ad un malintenzionato di eseguire codice JavaScript arbitrario sul dispositivo dell’utente. Utilizzando vari metodi di attacco è possibile accedere allo smartphone e rubare dati sensibili. La causa principale del problema è che Smart Notice non effettua la validazione dei dati.

Per provare l’esistenza del bug, BugSec e Cynet hanno creato un contatto iniettando codice infetto. Quando Smart Notice visualizza un promemoria o una notifica per un compleanno, questo codice viene automaticamente eseguito. Il G3 viene quindi controllato da remoto e l’utente non si accorge di nulla. La vulnerabilità può essere sfruttata anche per installare malware e per effettuare un attacco DoS che blocca il dispositivo.

Galleria di immagini: LG G3, le foto

Anche se Smart Notice può essere disattivato è consigliabile installare la nuova versione rilasciata da LG. Il bug non dovrebbe essere presente sul più recente G4.

Fonte: ArsTechnica • Immagine: LG • Notizie su: LG G3, , ,
Commenta e partecipa alle discussioni