Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
3 Min Lesezeit 36 mal geteilt 37 Kommentare

Sicherheitslücke in LG-Bloatware gefährdet Millionen Nutzer

Eine Sicherheitslücke in der Bloatware-App Smart Notice macht Smartphones des Typs LG G3 verwundbar gegen Datendiebstahl. Sofern Ihr nicht manuell eine neue Software aufspielt, bleibt das 2014er Flaggschiff von LG angreifbar.

Eigentlich wurden mit Android 6.0 Marshmallow im November 2015 monatliche Sicherheitsupdates zur Norm. Leider haben sich noch nicht alle Smartphone-Hersteller dieser Tugend angeschlossen. Das LG G3 gehört zu den glücklichen, die daran teilnehmen. Doch nützt dies wenig, wenn seine vorinstallierten Bloatware-Apps zum Einfallstor für Hacker werden.

Im aktuellen Fall handelt es sich um die App Smart Notice. Diese hat im Grunde dieselbe Aufgabe wie Google Now. Sie soll Euch mit Wetter-Infos, Termin-Erinnerungen und Verkehrs-Infos versorgen. Auch erinnert sie Euch an die Geburtstage Eurer Kontakte und Freunde. Doch genau hierbei liegen einigen Schwächen in der Programmierung.

lg g3 smart notice update center
Die empfindliche Version lässt sich nicht einfach updaten. / © ANDROIDPIT

Forscher der Sicherheitsfirmen BugSec und Cynet haben Lücken im Code von Smart Notice entdeckt. So konnten sie über gezinkte Benachrichtigungen Zugriff auf Inhalte der microSD-Karte und des internen Speichers auslesen. Smart Notice erkennt eine Benachrichtigung über einen Geburtstag, führt aber in Wirklichkeit Schadcode aus. Der Anwender muss dabei sein Smartphone nicht einmal in die Hand nehmen.

Da die Forscher sich vor der Veröffentlichung dieses Fehlers mit LG in Verbindung gesetzt hatten, konnte LG inzwischen mit einem Patch der App reagieren. Doch müsst Ihr hierfür dieses Update aktiv installieren. Wenn Ihr nicht in Eurem Update Center automatische Updates aktiviert habt, seid Ihr aktuell über für die Sicherheitslücke angreifbar.

Die Aktualisierung ist per Update Center nicht möglich

Da sich das Update Center auf unserem Testgerät als wenig hilfreich erwies und keine Updates erlaubt hatte, führten wir das Update per USB-Kabel am Rechner durch. Ladet dazu die über 200 Megabyte große PC Suite von LG herunter und installiert sie auf Eurem Windows-Rechner oder Mac.

lg g3 smart notice android version
Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version. / © ANDROIDPIT

Verbindet dann Euer LG G3 mit dem Computer und erlaubt auf dem Smartphone USB-Debugging für den Computer. Dort sollte Euch gleich zu Anfang ein Software-Upgrade angeboten werden. Innerhalb von insgesamt fünfzehn Minuten solltet Ihr dann neuere Software installiert haben.

Niemand weiß, welche Version von Smart Notice den Patch beinhaltet

Leider handelt es sich dabei um die einzige offizielle Möglichkeit, die neue Version zu erhalten. Cynet-Chef David Leichner wird uns demnächst zuspielen, um welche Version von Smart Notice es sich genau handelt. Diese Information geht aus bisherigen Berichten nicht hervor.

Hersteller LG wird uns demnächst mitteilen, wie das Unternehmen langfristig mit derlei Problemen umgehen will. Denn prinzipiell wäre die Lücke besser zu schließen gewesen, würde man die App über den Play Store warten. Die Installation über die PC Suite ist recht einfach, aber weniger bequem als eine schnelle Over-the-Air-Verteilung, die einfach auf den Kunden zukommt.

Quelle: Cynet

37 Kommentare

Neuen Kommentar schreiben:
  •   12

    Na dann... Root und weg damit.

    • Einen Einbruch damit zu lösen, die Türen direkt offen zu lassen, ist aber eine gewagte Lösung :D

  • auch ich habe am g3 android 6.0 software 30b-EUR-XX android sicherheitspatch-level 2015-12-01. die system app. ist smart notice version 4.70.9 . der avira vulnerability checker -sagt -ihr gerät ist gefährdet. aber andere scanner finden nichts...mh? komisch oder?

    sowohl die updateversuche über OTA als auch über die lg suite sagen aus....aktuelle software.

  • Ich habe auf meinem g3 das android 6 update. Damit sollte doch alles gefixt sein. oder?

  • Also ich habe Version 4.70.9 drauf mit Marshmallow und Google Patch 1.12.2015.

    •   33

      Ich habe unter Lollipop Version 4.40.7 drauf, die oben laut Bildunterschrift die neuere gepatchte Version sein soll (zumindest vermute ich das, so genau ist es ja nicht ausgeführt).
      Ich habe aber in den letzten Wochen weder OTA noch per PC Suite Updates bekommen. Hat sich AP da jetzt etwa eine schon relativ alte Version gezogen und verkauft die als brandneue gepatchte?

      Aber damit bestätigst du meine Vermutung, dass unter den unterschiedlichen Android Versionen auch unterschiedliche Software Versionen verwendet werden. Diese Tatsache zusammen mit der ominösen neuen alten Version 4.40.7 und der Tatsache, dass unklar ist, welche Version angreifbar und welche gepatcht ist, macht die ganze Info zur Sicherheitslücke und die Updatehinweise zur Farce.

      • Die 4.40.7 ist die neuere, die unserem Testgerät aufgespielt wurde. Damit war zumindest der Zusammenhang geklärt, wie man die App aktualisieren kann. LG muss dringend die Updates solcher Apps von seinen viel zu seltenen System-Updates entkoppeln.

      • Oh sorry... Ich habe mich verschrieben. Ich habe eben noch einmal im System nachgesehen.. Es ist die 4.70.9... aufgespielt... Ist das nicht komisch.. Mal sehen ob avira was dazu weiß. Andere Scanner sagen alles okay. Und bei lg gibt bis eben nichts weder OTA noch PC Suite. Danke

      •   33

        Wie gesagt. Ich habe die 4.40.7 und seit Wochen kein OTA von LG bekommen und die PC Suite nach lesen dieses Artikelst überhaupt erst installiert.
        Wenn Smart Notice nicht über die normalen App-Updates vom Playstore kommt, dann ist mir schleierhaft, wie ich an eine jüngst veröffentlichte, gepatchte Version gekommen sein sollte.

    • hi superwolf , genau die version 7.70.9 und Android 6.0 ...der avira scan sagt angreifbar, andere scanner sagen ok...komisch

  • Monatlicher Patch von November 2015. Der ist wohl nie aktualisiert worden.
    Finde ich ungenügend was die Hersteller da machen.
    setzen ...6
    Macht das wenigstens Moto ab Android 5 ?

    •   40

      Bei Moto soll ja auch erst einmal Stille herrschen ,nun das es ja amtlich ist und Lenovo es endgültig übernommen hat und es ja keine weiteren Smartphones mehr, mit dem Namen von Motorola versehen ,geben soll.

      Ich versuche es mal mit Cyanogen OS ,mal schauen ob das was bringt.

      Zwar ist dort auch noch das 12.1(Android 5.1) installiert ,aber wenigstens sollen keine Sicherheitslücken mehr vorhanden sein.

      Um Motorola ist es ziemlich ruhig geworden allgemein ,man hört auch nichts mehr davon ,ob das Moto e 2015 überhaupt Android 6 bekommt nun,oder auch die erste Moto g Reihe.

  •   33

    @ APit: Habs zwar schon unten per edit in meinen kommentar eingefügt, aber frage noch mal direkt nach, falls das unter gegangen ist.

    Ihr zeigt Screenshots von Version 4.40.7 und schreibt darunter: "Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version". Ist die Version 4.40.7 nun die aktualisierte oder noch die alte Version?

    Wenn ihr das Update gemacht habt, sollte es doch möglich sein, mal konkret zu schreiben, welche Version ihr erhalten habt.

  • Das g4 ist davon nicht betroffen, oder?

  • Gut, dass man diese Probleme mit CM13 nicht hat

  • Falsche Stelle.

  • Habe zwar kein lg g3 aber denke mal wie auch bei anderen Gerät die angreifbar sind und waren
    Panikmache kenne keinen der sich was eingefangen hat.

    • Sicherheit ist keine Panikmache.
      Eine mögliche Lücke sollte geschlossen werden, unabhängig davon ob du wen kennst.

  •   33

    Es wird nicht gesagt, welche Version angreifbar ist. Niemand weiß, welche Version gepatcht ist. Aber Updates soll man machen. Beim G3 sind auch mit aktivierten Updates mindestens 2 unterschiedliche Androidversionen im Umlauf. Ob es allgemein für alle Androidversionen gilt oder nicht oder je nach Android evtl. auch andere Smart Notice Versionen verwendet werden, wird auch nicht gesagt.

    Also um's mal mit Grölemeyer zu sagen: "Was soll das?"

    @ Apit: Sind die Screenshots von vor oder nach dem Update?

  • Tom 29.01.2016 Link zum Kommentar

    Irgendwie finde ich bei mir gar keine smart notice app? 6.0 ist drauf..

Zeige alle Kommentare
36 mal geteilt

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!