Sicherheitslücke in LG-Bloatware gefährdet Millionen Nutzer
Eine Sicherheitslücke in der Bloatware-App Smart Notice macht Smartphones des Typs LG G3 verwundbar gegen Datendiebstahl. Sofern Ihr nicht manuell eine neue Software aufspielt, bleibt das 2014er Flaggschiff von LG angreifbar.
Eigentlich wurden mit Android 6.0 Marshmallow im November 2015 monatliche Sicherheitsupdates zur Norm. Leider haben sich noch nicht alle Smartphone-Hersteller dieser Tugend angeschlossen. Das LG G3 gehört zu den glücklichen, die daran teilnehmen. Doch nützt dies wenig, wenn seine vorinstallierten Bloatware-Apps zum Einfallstor für Hacker werden.
Im aktuellen Fall handelt es sich um die App Smart Notice. Diese hat im Grunde dieselbe Aufgabe wie Google Now. Sie soll Euch mit Wetter-Infos, Termin-Erinnerungen und Verkehrs-Infos versorgen. Auch erinnert sie Euch an die Geburtstage Eurer Kontakte und Freunde. Doch genau hierbei liegen einigen Schwächen in der Programmierung.
Forscher der Sicherheitsfirmen BugSec und Cynet haben Lücken im Code von Smart Notice entdeckt. So konnten sie über gezinkte Benachrichtigungen Zugriff auf Inhalte der microSD-Karte und des internen Speichers auslesen. Smart Notice erkennt eine Benachrichtigung über einen Geburtstag, führt aber in Wirklichkeit Schadcode aus. Der Anwender muss dabei sein Smartphone nicht einmal in die Hand nehmen.
Da die Forscher sich vor der Veröffentlichung dieses Fehlers mit LG in Verbindung gesetzt hatten, konnte LG inzwischen mit einem Patch der App reagieren. Doch müsst Ihr hierfür dieses Update aktiv installieren. Wenn Ihr nicht in Eurem Update Center automatische Updates aktiviert habt, seid Ihr aktuell über für die Sicherheitslücke angreifbar.
Die Aktualisierung ist per Update Center nicht möglich
Da sich das Update Center auf unserem Testgerät als wenig hilfreich erwies und keine Updates erlaubt hatte, führten wir das Update per USB-Kabel am Rechner durch. Ladet dazu die über 200 Megabyte große PC Suite von LG herunter und installiert sie auf Eurem Windows-Rechner oder Mac.
Verbindet dann Euer LG G3 mit dem Computer und erlaubt auf dem Smartphone USB-Debugging für den Computer. Dort sollte Euch gleich zu Anfang ein Software-Upgrade angeboten werden. Innerhalb von insgesamt fünfzehn Minuten solltet Ihr dann neuere Software installiert haben.
Niemand weiß, welche Version von Smart Notice den Patch beinhaltet
Leider handelt es sich dabei um die einzige offizielle Möglichkeit, die neue Version zu erhalten. Cynet-Chef David Leichner wird uns demnächst zuspielen, um welche Version von Smart Notice es sich genau handelt. Diese Information geht aus bisherigen Berichten nicht hervor.
Hersteller LG wird uns demnächst mitteilen, wie das Unternehmen langfristig mit derlei Problemen umgehen will. Denn prinzipiell wäre die Lücke besser zu schließen gewesen, würde man die App über den Play Store warten. Die Installation über die PC Suite ist recht einfach, aber weniger bequem als eine schnelle Over-the-Air-Verteilung, die einfach auf den Kunden zukommt.
Quelle: Cynet
Ohne Spaß:
Das ist mir passiert. Durch Hardware Fehler, für den LG nicht aufkommen wollte, blieb mein Gerät immer auf Android 4.4 .
Und vor nem halben Jahr hat sich mein Gerät verabschiedet. Deutlich hörbares Geräusch- Prozessor futsch.
Da traurigste ist leider dass weder LG noch mein Vodafone hilfsbereit waren, bzw mir manchmal einfach nicht geglaubt haben.
Macht Software Updates!!
Na dann... Root und weg damit.
Einen Einbruch damit zu lösen, die Türen direkt offen zu lassen, ist aber eine gewagte Lösung :D
auch ich habe am g3 android 6.0 software 30b-EUR-XX android sicherheitspatch-level 2015-12-01. die system app. ist smart notice version 4.70.9 . der avira vulnerability checker -sagt -ihr gerät ist gefährdet. aber andere scanner finden nichts...mh? komisch oder?
sowohl die updateversuche über OTA als auch über die lg suite sagen aus....aktuelle software.
Ich habe auf meinem g3 das android 6 update. Damit sollte doch alles gefixt sein. oder?
Also ich habe Version 4.70.9 drauf mit Marshmallow und Google Patch 1.12.2015.
Ich habe unter Lollipop Version 4.40.7 drauf, die oben laut Bildunterschrift die neuere gepatchte Version sein soll (zumindest vermute ich das, so genau ist es ja nicht ausgeführt).
Ich habe aber in den letzten Wochen weder OTA noch per PC Suite Updates bekommen. Hat sich AP da jetzt etwa eine schon relativ alte Version gezogen und verkauft die als brandneue gepatchte?
Aber damit bestätigst du meine Vermutung, dass unter den unterschiedlichen Android Versionen auch unterschiedliche Software Versionen verwendet werden. Diese Tatsache zusammen mit der ominösen neuen alten Version 4.40.7 und der Tatsache, dass unklar ist, welche Version angreifbar und welche gepatcht ist, macht die ganze Info zur Sicherheitslücke und die Updatehinweise zur Farce.
Die 4.40.7 ist die neuere, die unserem Testgerät aufgespielt wurde. Damit war zumindest der Zusammenhang geklärt, wie man die App aktualisieren kann. LG muss dringend die Updates solcher Apps von seinen viel zu seltenen System-Updates entkoppeln.
Oh sorry... Ich habe mich verschrieben. Ich habe eben noch einmal im System nachgesehen.. Es ist die 4.70.9... aufgespielt... Ist das nicht komisch.. Mal sehen ob avira was dazu weiß. Andere Scanner sagen alles okay. Und bei lg gibt bis eben nichts weder OTA noch PC Suite. Danke
Wie gesagt. Ich habe die 4.40.7 und seit Wochen kein OTA von LG bekommen und die PC Suite nach lesen dieses Artikelst überhaupt erst installiert.
Wenn Smart Notice nicht über die normalen App-Updates vom Playstore kommt, dann ist mir schleierhaft, wie ich an eine jüngst veröffentlichte, gepatchte Version gekommen sein sollte.
hi superwolf , genau die version 7.70.9 und Android 6.0 ...der avira scan sagt angreifbar, andere scanner sagen ok...komisch
Monatlicher Patch von November 2015. Der ist wohl nie aktualisiert worden.
Finde ich ungenügend was die Hersteller da machen.
setzen ...6
Macht das wenigstens Moto ab Android 5 ?
Bei Moto soll ja auch erst einmal Stille herrschen ,nun das es ja amtlich ist und Lenovo es endgültig übernommen hat und es ja keine weiteren Smartphones mehr, mit dem Namen von Motorola versehen ,geben soll.
Ich versuche es mal mit Cyanogen OS ,mal schauen ob das was bringt.
Zwar ist dort auch noch das 12.1(Android 5.1) installiert ,aber wenigstens sollen keine Sicherheitslücken mehr vorhanden sein.
Um Motorola ist es ziemlich ruhig geworden allgemein ,man hört auch nichts mehr davon ,ob das Moto e 2015 überhaupt Android 6 bekommt nun,oder auch die erste Moto g Reihe.
@ APit: Habs zwar schon unten per edit in meinen kommentar eingefügt, aber frage noch mal direkt nach, falls das unter gegangen ist.
Ihr zeigt Screenshots von Version 4.40.7 und schreibt darunter: "Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version". Ist die Version 4.40.7 nun die aktualisierte oder noch die alte Version?
Wenn ihr das Update gemacht habt, sollte es doch möglich sein, mal konkret zu schreiben, welche Version ihr erhalten habt.
Das g4 ist davon nicht betroffen, oder?
Gut, dass man diese Probleme mit CM13 nicht hat
Falsche Stelle.
Habe zwar kein lg g3 aber denke mal wie auch bei anderen Gerät die angreifbar sind und waren
Panikmache kenne keinen der sich was eingefangen hat.
Sicherheit ist keine Panikmache.
Eine mögliche Lücke sollte geschlossen werden, unabhängig davon ob du wen kennst.
Ich hab mir was eingefangen.
Prozessor futsch.
Auch wenns selten ist sollte man sowas ernstnehmen
Es wird nicht gesagt, welche Version angreifbar ist. Niemand weiß, welche Version gepatcht ist. Aber Updates soll man machen. Beim G3 sind auch mit aktivierten Updates mindestens 2 unterschiedliche Androidversionen im Umlauf. Ob es allgemein für alle Androidversionen gilt oder nicht oder je nach Android evtl. auch andere Smart Notice Versionen verwendet werden, wird auch nicht gesagt.
Also um's mal mit Grölemeyer zu sagen: "Was soll das?"
@ Apit: Sind die Screenshots von vor oder nach dem Update?
Irgendwie finde ich bei mir gar keine smart notice app? 6.0 ist drauf..
Dass LG G3 bekommt monatliche Updates? Seit wann denn das? Das letzte Update kam im Oktober. Und auf Marshmallow wird immer noch gewartet.
Warum hat auch LG ein Konkurrenz Produkt zu Google Now? Tzzzz...
Wenn es nicht solche Leuchten geben würde, die mittels Schadsoftware anderen schaden wollen würden, wäre das ganze kein Problem. Aber ist hald leider nur Wunschdenken.^^
Sollte ein deaktivieren der App nicht ausreichen?
Dann guck dir mal den Screenshot im Bericht an...
Bei mir wurde kein Update angezeigt nachdem ich mein G3 an den PC angeschlossen oder wird es wieder in Etappen ausgerollt ?
Das ausrollen von Updates in Etappen ist bei vielen Herstellern üblich. Probiere es einfach morgen noch einmal.
Das ist extrem peinlich. Genauso peinlich ist, dass das Update nicht automatisch aufgespielt werden kann.
LG scheint auf dem Gebiet der Software genauso unfähig wie Samsung. Schade, denn LG ist immer eine Alternative zu Samsung.
Wird echt mal Zeit das die Hersteller mit dem Bloatware-Mist aufhören, die sollen die Apps zur Verfügung stellen und wer sie braucht kann sie dann im Play Store laden, aber das wird ja schon lange gefordert, bisher leider ohne großen Erfolg.
Nein, man kann sie eben nicht einfach in den PlayStore auslagern, weil die Oberflächen (zB mit vollständigen System- und Designanpassungen) nun mal tiefer ins System greifen. Das würde zumindest eine standardmäßig gerootetes System vorraussetzen was allerdings sicherheitstechnisch auch wieder für die meisten User unzumutbar wäre.
Bei einigen Apps mag das ja durchaus zutreffen, aber die meisten vorinstallierten Programme sind einfach nur Platzräuber, die man nicht mal löschen kann, sofern man das Teil nicht rooten möchte.
Bei Bloatware gehts doch nicht darum ob du oder irgendjemand sonst sie braucht. Es geht darum, dass Samsung oder LG dafür Geld bekommen. Ob dir das gefällt, ist dem Hersteller ziemlich gleichgültig.
@Tenten:
Das mag auf so Müll wie die pizza.de-, Evernote- und McAfee-Apps zutreffen. Aber dass LG Geld für seine eigenen Apps bekommt, wage ich mal zu bezweifeln.
Was sollen das für eigene Apps sein? Sowas wie Notizen oder ein Mailprogramm? Dann reden wir hier nicht von Bloatware, sondern Software, die auf jedem Smartphone als Grundausstattung drauf sein sollte.
Zum Beispiel dieses LG Smartworld-Gedöns, mit dem sich 13jährige Mädchen ihr Hello Kitty Theme für den LG Launcher laden können.
Voice Mate, weil es LG nicht reicht, dass schon ein Sprachassi von Google drauf ist.
Irgendwelche ScreenOn-Notizen und Office-Zeugs, was am Ende doch kein Mensch nutzt.
Ah ok. Aber wenn man sich über so ein paar Apps schon so aufregt, dann muss man sich halt ein Nexus kaufen. Ich miete doch auch kein möbliertes Haus, wenn ich meine eigenen Möbel mitbringen will.
Da haben dann offenbar die dreizehnjährigen Mädchen mehr Verstand bei der richtigen Smartphoneauswahl ;)
@DiDaDo:
Designanpassungen würde ich jetzt nicht für so Systemeingreifend halten...
Ich denke auch, dass es ohne großen Aufwand möglich wäre, eine Stock-ähnliche UI nachträglich per Apps mit dem ganzen Bloatkram auszustatten.
Warum nicht temporär Root ermöglichen dafür z.B.?
Der Punkt ist eher, dass die Hersteller ihrem Gerät den persönlichen Touch(Wiz) verleihen wollen.
Der Wiedererkennungswert muss gegeben sein.
Und kaum jemand würde Bloatware nachträglich installieren... ;)