Cloud-Patch

Sicherheitslücken in LG G3, G4 und G5

Sicherheitsforscher haben zwei große Sicherheitslücken in den LG-Flaggschiffen G3, G4 und G5 entdeckt. LG hat sich des Problems bereits angenommen.
Von Andre Reinhardt

Achtung Sicherheitslücke bei LG SmartShare Cloud Achtung Sicherheitslücke bei LG SmartShare Cloud
Screenshpt: teltarif.de / Andre Reinhardt Die LG-Flaggschiffe G3, G4 und G5 bieten ab Werk eine automatische Cloud-Backup-Funktion, die Inhalte von Anwendern online sichern kann. Wie die in England ansässige Sicherheitsfirma MWR InfoSecurity [Link entfernt] nun mitteilte, weist dieses Feature bei besagten Smartphones jedoch zwei gravierende Sicherheitslücken auf. Besitzer dieser Mobilgeräte sollten darauf achten, dass jeweils das neueste Update installiert ist. Smartphones, auf denen bereits das Android-Sicherheitspatch vom Dezember läuft, seien nicht anfällig. Außerdem hat LG bereits einen Fix für die betroffene Funktion LG-SmartShare-Cloud mit der Version 2.4 veröffentlicht. Achtung Sicherheitslücke bei LG SmartShare Cloud Achtung Sicherheitslücke bei LG SmartShare Cloud
Screenshpt: teltarif.de / Andre Reinhardt

Nur Cloud-Nutzer betroffen

Betroffen sind in erster Linie Nutzer, die Gebrauch von den Cloud-Plattformen Box und Dropbox über die Hub-Applikation SmartShare Cloud machen. Während die Dateien im Hintergrund automatisch zu den besagten Diensten hochgeladen werden, können Hacker unter bestimmten Voraussetzungen Zugriff auf diese Daten erlangen. Hierbei werden zwei Sicherheitslücken ausgenutzt.

Details zu den Sicherheitslücken

LG-Nutzer sollten bei der Nutzung dieser Dienste auf Sicherheitsupdates achten LG-Nutzer sollten bei der Nutzung dieser Dienste auf Sicherheitsupdates achten
Screenshot: teltarif.de / Andre Reinhardt Bei der ersten Schwachstelle sind LG G3, G4 und G5 anfällig, wenn sie sich im selben WLAN-Netzwerk mit einem Hacker befinden und Dateien als Cloud-Backup hochgeladen werden. Mediendateien des Nutzers können durch einen Angriff ohne Eingabe von Passwort und Benutzernamen bei Box oder Dropbox heruntergeladen werden. Die zweite Lücke erlaubt es, API-Aufrufe an Dropbox durch bestimmte URL-Parameter zu manipulieren, möglich wird das durch einen sogenannten Path-Traversal-Bug. Bei dieser Methode können Dateien zwar nicht direkt abgefangen, aber dennoch für einen Hacker zugänglich gemacht werden. Wenn der Angreifer die Namen von Dateien oder Ordnern des Opfers in Dropbox kennt, kann er eine entsprechende Freigabe erwirken.

Betroffene müssen ihr System aktuell halten

Für LG sind die Sicherheitslücken nichts Neues, das südkoreanische Unternehmen räumt ein, bereits seit Juli 2016 davon zu wissen. Mit der Anpassung des LG-Dienstes SmartShare Cloud in der Version 2.4 wurden die Bugs behoben. Des Weiteren seien Mobilgeräte der Gattung G3, G4 und G5 mit dem aus dem Dezember stammenden Android-Sicherheitspatch-Ebene 1 nicht mehr anfällig. Bei SmartShare handelt es sich um eine Ansammlung LGs verschiedener Lösungen zur Vernetzung des Smartphones. Darunter befindet sich auch besagte Cloud-Funktion, bei der MWR InfoSecurity die Sicherheitslücken entdeckte.

Mehr über die Vor- und Nachteile von Cloud-Anwendungen erfahren Sie in unserem Ratgeber.

Mehr zum Thema Sicherheitslücke