LG G3, grave vulnerabilità in Smart Notice

I ricercatori di BugSec e Cynet hanno scoperto una grave vulnerabilità in Smart Notice, un’applicazione preinstallata sul G3 di LG che visualizza le notifiche in forma di card, in modo simile a Google Now. Il bug, che potrebbe consentire il furto di dati sensibili, è stato prontamente risolto dal produttore coreano, anche se non sono ancora in circolazione exploit che possono sfruttare la vulnerabilità.

Smart Notice visualizza sulla schermata home dello smartphone diverse informazioni, come previsioni del tempo, compleanni degli amici e condizioni del traffico. Il bug, denominato SNAP dai ricercatori di sicurezza, consente ad un malintenzionato di eseguire codice JavaScript arbitrario sul dispositivo dell’utente. Utilizzando vari metodi di attacco è possibile accedere allo smartphone e rubare dati sensibili. La causa principale del problema è che Smart Notice non effettua la validazione dei dati.

Per provare l’esistenza del bug, BugSec e Cynet hanno creato un contatto iniettando codice infetto. Quando Smart Notice visualizza un promemoria o una notifica per un compleanno, questo codice viene automaticamente eseguito. Il G3 viene quindi controllato da remoto e l’utente non si accorge di nulla. La vulnerabilità può essere sfruttata anche per installare malware e per effettuare un attacco DoS che blocca il dispositivo.

Anche se Smart Notice può essere disattivato è consigliabile installare la nuova versione rilasciata da LG. Il bug non dovrebbe essere presente sul più recente G4.