/ Security / Lücken in der SmartShare Cloud: LGs Cloud-App ist löchrig

Lücken in der SmartShare Cloud: LGs Cloud-App ist löchrig

Moritz Rosenfeld on January 19, 2017 - 3:05 am in Security

Eine vorinstallierte App auf den Smartphones G3, G4 und G5 von LG ermöglicht es Angreifern, an Dateien in darüber konfigurierten Cloudspeichern zu gelangen. LG hat die Lücke bereits im Oktober gestopft.

Smartphones von LG enthalten die App LG SmartShare Cloud, die eine Anbindung an Cloud-Dienste von Dritten wie Dropbox und Box.com bereitstellt. Wie die Sicherheitsfirma MWR Labs bereits Mitte vorigen Jahres herausgefunden hat, enthält diese App zwei Sicherheitslücken, die es Angreifern im selben Netz wie das Smartphone ermöglichen, auf beliebige Daten in den Cloud-Speichern des Opfers zuzugreifen. Dazu muss der Angreifer allerdings die genauen Namen der Dateien kennen. Des weiteren können die Angreifer die Dropbox des Opfers so umkonfigurieren, dass jegliche Dateien darin ohne Angabe von Zugangsdaten geteilt werden.

Laut LG sind die Sicherheitslücken bereits mit einem Over-the-Air-Update Mitte Oktober geschlossen worden. Betroffen waren die Geräte LG G3, G4 und G5. LG hatte die Patches bereits in einer Sicherheitsmeldung Anfang Dezember erwähnt. Details zu den Lücken sind aber erst jetzt an die Öffentlichkeit gelangt. Beiden Lücken liegt zu Grunde, dass die SmartShare-Cloud-App einen Webserver öffnet und im lokalen WLAN auf Port 9999 ansprechbar macht. Der Webserver erlaubt dabei Zugriff auf Funktionen der App für alle Nutzer des Netzwerks. Die App leitet diese Anfragen dann ungeprüft an Cloud-Dienste der Drittanbieter weiter. (fab)

Read more on: Source

Comments are disabled