Sicherheitslücke in LG-Bloatware gefährdet Millionen Nutzer
Eine Sicherheitslücke in der Bloatware-App Smart Notice macht Smartphones des Typs LG G3 verwundbar gegen Datendiebstahl. Sofern Ihr nicht manuell eine neue Software aufspielt, bleibt das 2014er Flaggschiff von LG angreifbar.
Eigentlich wurden mit Android 6.0 Marshmallow im November 2015 monatliche Sicherheitsupdates zur Norm. Leider haben sich noch nicht alle Smartphone-Hersteller dieser Tugend angeschlossen. Das LG G3 gehört zu den glücklichen, die daran teilnehmen. Doch nützt dies wenig, wenn seine vorinstallierten Bloatware-Apps zum Einfallstor für Hacker werden.
Im aktuellen Fall handelt es sich um die App Smart Notice. Diese hat im Grunde dieselbe Aufgabe wie Google Now. Sie soll Euch mit Wetter-Infos, Termin-Erinnerungen und Verkehrs-Infos versorgen. Auch erinnert sie Euch an die Geburtstage Eurer Kontakte und Freunde. Doch genau hierbei liegen einigen Schwächen in der Programmierung.
Forscher der Sicherheitsfirmen BugSec und Cynet haben Lücken im Code von Smart Notice entdeckt. So konnten sie über gezinkte Benachrichtigungen Zugriff auf Inhalte der microSD-Karte und des internen Speichers auslesen. Smart Notice erkennt eine Benachrichtigung über einen Geburtstag, führt aber in Wirklichkeit Schadcode aus. Der Anwender muss dabei sein Smartphone nicht einmal in die Hand nehmen.
Da die Forscher sich vor der Veröffentlichung dieses Fehlers mit LG in Verbindung gesetzt hatten, konnte LG inzwischen mit einem Patch der App reagieren. Doch müsst Ihr hierfür dieses Update aktiv installieren. Wenn Ihr nicht in Eurem Update Center automatische Updates aktiviert habt, seid Ihr aktuell über für die Sicherheitslücke angreifbar.
Die Aktualisierung ist per Update Center nicht möglich
Da sich das Update Center auf unserem Testgerät als wenig hilfreich erwies und keine Updates erlaubt hatte, führten wir das Update per USB-Kabel am Rechner durch. Ladet dazu die über 200 Megabyte große PC Suite von LG herunter und installiert sie auf Eurem Windows-Rechner oder Mac.
Verbindet dann Euer LG G3 mit dem Computer und erlaubt auf dem Smartphone USB-Debugging für den Computer. Dort sollte Euch gleich zu Anfang ein Software-Upgrade angeboten werden. Innerhalb von insgesamt fünfzehn Minuten solltet Ihr dann neuere Software installiert haben.
Niemand weiß, welche Version von Smart Notice den Patch beinhaltet
Leider handelt es sich dabei um die einzige offizielle Möglichkeit, die neue Version zu erhalten. Cynet-Chef David Leichner wird uns demnächst zuspielen, um welche Version von Smart Notice es sich genau handelt. Diese Information geht aus bisherigen Berichten nicht hervor.
Hersteller LG wird uns demnächst mitteilen, wie das Unternehmen langfristig mit derlei Problemen umgehen will. Denn prinzipiell wäre die Lücke besser zu schließen gewesen, würde man die App über den Play Store warten. Die Installation über die PC Suite ist recht einfach, aber weniger bequem als eine schnelle Over-the-Air-Verteilung, die einfach auf den Kunden zukommt.
Quelle: Cynet
Ohne Spaß:
Das ist mir passiert. Durch Hardware Fehler, für den LG nicht aufkommen wollte, blieb mein Gerät immer auf Android 4.4 .
Und vor nem halben Jahr hat sich mein Gerät verabschiedet. Deutlich hörbares Geräusch- Prozessor futsch.
Da traurigste ist leider dass weder LG noch mein Vodafone hilfsbereit waren, bzw mir manchmal einfach nicht geglaubt haben.
Macht Software Updates!!
Na dann... Root und weg damit.
Einen Einbruch damit zu lösen, die Türen direkt offen zu lassen, ist aber eine gewagte Lösung :D
auch ich habe am g3 android 6.0 software 30b-EUR-XX android sicherheitspatch-level 2015-12-01. die system app. ist smart notice version 4.70.9 . der avira vulnerability checker -sagt -ihr gerät ist gefährdet. aber andere scanner finden nichts...mh? komisch oder?
sowohl die updateversuche über OTA als auch über die lg suite sagen aus....aktuelle software.
Ich habe auf meinem g3 das android 6 update. Damit sollte doch alles gefixt sein. oder?
Also ich habe Version 4.70.9 drauf mit Marshmallow und Google Patch 1.12.2015.
Ich habe unter Lollipop Version 4.40.7 drauf, die oben laut Bildunterschrift die neuere gepatchte Version sein soll (zumindest vermute ich das, so genau ist es ja nicht ausgeführt).
Ich habe aber in den letzten Wochen weder OTA noch per PC Suite Updates bekommen. Hat sich AP da jetzt etwa eine schon relativ alte Version gezogen und verkauft die als brandneue gepatchte?
Aber damit bestätigst du meine Vermutung, dass unter den unterschiedlichen Android Versionen auch unterschiedliche Software Versionen verwendet werden. Diese Tatsache zusammen mit der ominösen neuen alten Version 4.40.7 und der Tatsache, dass unklar ist, welche Version angreifbar und welche gepatcht ist, macht die ganze Info zur Sicherheitslücke und die Updatehinweise zur Farce.
Die 4.40.7 ist die neuere, die unserem Testgerät aufgespielt wurde. Damit war zumindest der Zusammenhang geklärt, wie man die App aktualisieren kann. LG muss dringend die Updates solcher Apps von seinen viel zu seltenen System-Updates entkoppeln.
Oh sorry... Ich habe mich verschrieben. Ich habe eben noch einmal im System nachgesehen.. Es ist die 4.70.9... aufgespielt... Ist das nicht komisch.. Mal sehen ob avira was dazu weiß. Andere Scanner sagen alles okay. Und bei lg gibt bis eben nichts weder OTA noch PC Suite. Danke
Wie gesagt. Ich habe die 4.40.7 und seit Wochen kein OTA von LG bekommen und die PC Suite nach lesen dieses Artikelst überhaupt erst installiert.
Wenn Smart Notice nicht über die normalen App-Updates vom Playstore kommt, dann ist mir schleierhaft, wie ich an eine jüngst veröffentlichte, gepatchte Version gekommen sein sollte.
hi superwolf , genau die version 7.70.9 und Android 6.0 ...der avira scan sagt angreifbar, andere scanner sagen ok...komisch
Monatlicher Patch von November 2015. Der ist wohl nie aktualisiert worden.
Finde ich ungenügend was die Hersteller da machen.
setzen ...6
Macht das wenigstens Moto ab Android 5 ?
Bei Moto soll ja auch erst einmal Stille herrschen ,nun das es ja amtlich ist und Lenovo es endgültig übernommen hat und es ja keine weiteren Smartphones mehr, mit dem Namen von Motorola versehen ,geben soll.
Ich versuche es mal mit Cyanogen OS ,mal schauen ob das was bringt.
Zwar ist dort auch noch das 12.1(Android 5.1) installiert ,aber wenigstens sollen keine Sicherheitslücken mehr vorhanden sein.
Um Motorola ist es ziemlich ruhig geworden allgemein ,man hört auch nichts mehr davon ,ob das Moto e 2015 überhaupt Android 6 bekommt nun,oder auch die erste Moto g Reihe.
@ APit: Habs zwar schon unten per edit in meinen kommentar eingefügt, aber frage noch mal direkt nach, falls das unter gegangen ist.
Ihr zeigt Screenshots von Version 4.40.7 und schreibt darunter: "Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version". Ist die Version 4.40.7 nun die aktualisierte oder noch die alte Version?
Wenn ihr das Update gemacht habt, sollte es doch möglich sein, mal konkret zu schreiben, welche Version ihr erhalten habt.
Das g4 ist davon nicht betroffen, oder?
Gut, dass man diese Probleme mit CM13 nicht hat
Falsche Stelle.
Habe zwar kein lg g3 aber denke mal wie auch bei anderen Gerät die angreifbar sind und waren
Panikmache kenne keinen der sich was eingefangen hat.
Sicherheit ist keine Panikmache.
Eine mögliche Lücke sollte geschlossen werden, unabhängig davon ob du wen kennst.
Ich hab mir was eingefangen.
Prozessor futsch.
Auch wenns selten ist sollte man sowas ernstnehmen