LG corrige un bug de vol de données affectant des millions de téléphones Android

LG a corrigé un défaut de sécurité dans une application préinstallée sur des millions de ses smartphones Android G3 que les chercheurs ont trouvé pourrait être utilisé pour voler une variété de données. L'application, appelée Smart Notice, est une sorte de widget multifonctions, gérant les contacts, les notifications et les alertes météo et trafic.

Des chercheurs de BugSec et Cynet, deux sociétés de sécurité informatique, ont découvert qu'ils pouvaient attaquer le téléphone d'une personne en lui envoyant un message.

[Plus d'informations: Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Une fois que le code était sur le téléphone, toute information stockée sur sa voiture SD d, comme les images privées et les journaux de discussion, pourrait être volé.

"La cause première du problème de sécurité est le fait que Smart Notice ne valide pas les données présentées aux utilisateurs", écrit BugSec et Cynet dans un article de blog Jeudi.

Les chercheurs ont trouvé plusieurs moyens de déclencher leur code malveillant et de mener des actions, comme ouvrir un site d'hameçonnage essayant de voler les informations d'identification Gmail d'une personne ou inciter une personne à télécharger un cheval de Troie. > "Avec un petit tweak, nous avons pu charger des scripts externes depuis un hôte distant et 'rafraîchir' notre code toutes les quelques secondes, nous donnant la possibilité d'avoir une commande et un contrôle actifs sur le téléphone LG et d'envoyer de nouvelles charges utiles" écrit.

Il était également possible de mener une attaque par déni de service qui ne pouvait être stoppée qu'en faisant une réinitialisation matérielle du téléphone, écrivaient-ils.