Image default
Security

LG corrige falha grave em aplicativo que permite o roubo de informações

A LG disponibilizou uma atualização de segurança para alguns de seus recentes smartphones, a fim de corrigir uma vulnerabilidade grave encontrada no aplicativo Smart Notice.

Lançado pela LG em 2014, junto com o seu carro-chefe, o LG G3, o aplicativo Smart Notice vêm pré-instalado em todos os novos smartphones da empresa, e foi projetado para exibir informações aos usuários. Pesquisadores de segurança da BugSec, Liran Segal e Shachar Korot, descobriram que as notificações exibidas pelo aplicativo podem ser modificadas a fim de injetar código JavaScript não autenticado nos dispositivos afetados.

Chamada de SNAP, a vulnerabilidade permite o roubo de dados confidenciais, conforme dito pelos pesquisadores da BugSec e da Cygnet. Além disso, com o Smart Notice presente nos novos aparelhos da LG, eles sugerem que a falha pode afetar potencialmente milhões de usuários.

Ao explorar a vulnerabilidade, os atacantes podem extrair informações confidenciais da vítima, como as que estão armazenadas no cartão SD, incluindo aí dados do WhatsApp e imagens. A exploração da falha sendo bem sucedida, fará com que os usuários fiquem vulneráveis à ataques de phishing, resultando na instalação de malware em seus dispositivos.

O aplicativo Smart Notice possui a função de apresentar aos usuários uma série de notificações, dando sugestões, por exemplo, de manter em contato com seus contatos favoritos, salvar um número para chamar posteriormente, lembrar sobre os aniversários de seus contatos ou de retornar uma ligação não atendida.

A questão é que o aplicativo não valida as informações mostradas aos usuários, permitindo assim que sejam “subtraídas” dos contatos do smartphone e manipuladas. A equipe de pesquisadores também descobriu que os problemas na funcionalidade do aplicativo podem ser usadas para lançar outros tipos de ataques.

Os pesquisadores conseguiram inserir um contato malicioso que continha um script incorporado à lista de contatos, e que puderam colocá-lo em ação através do “Callback Reminder” (aviso sobre ligações não atendidas) e pela notificação de aniversários. O Smart Notice usa um “WebView”, e conforme dito pelos pesquisadores, foram capazes de executar o código a partir deste WebView.

Ao carregar scripts externos a partir de um host remoto e atualizar o código a cada poucos segundos, os pesquisadores tiveram sob controle um smartphone da LG e foram capazes ainda de enviar payloads adicionais. A falha permitiu também o acesso ao cartão SD externo de um smartphone, além de fazer com que o navegador de Internet fosse aberto automaticamente e acessasse uma url (através de phishing), e até mesmo a possibilidade de lançar um ataque de negação de serviço (DoS)

Os pesquisadores também descobriram que os invasores poderiam utilizar diversos vetores de ataque para comprometer um dispositivo, injetando o contato malicioso sem que o usuário percebesse.

A equipe de pesquisadores entraram em contato com LG a fim de relatar a vulnerabilidade. A empresa foi ágil em reconhecer o problema e disponibilizar um patch para corrigí-lo. Os proprietários de smartphones LG que possuem o Smart Notice ativado são aconselhados a atualizar para a versão mais recente do aplicativo a para se manterem protegidos.

Vulnerabilidades em dispositivos móveis são comuns, especialmente quando se trata do sistema operacional Android, onde o Google corrige falhas todo mês.

Fonte: SecurityWeek

Posts similares

Não é mentira: Cloudflare disponibiliza para todos serviço de DNS rápido

O Analista

Documentos de Snowden mostram que o vazamento ocorrido na NSA é real

O Analista

Falha permite que ameaças ‘bypassem’ detecção da FireEye

O Analista