LG schließt dumme Lücke in smarter Benachrichtigungs-App
Die vorinstallierte App Smart Notice auf dem LG G3 hat eine Schwachstelle, die es Angreifern ermöglicht, viele persönliche Daten des Nutzers zu kopieren. LG hat ein Update bereitgestellt.
(Bild: LG)
- Fabian A. Scherschel
Eine App, die LG auf Millionen von G3-Smartphones vorinstalliert hat, macht diese verwundbar für den Klau persönlicher Daten. Smart Notice hat Zugriff auf Kontaktinformationen inklusive Stammdaten, ein- und ausgehenden Anrufen und Textnachrichten. Auf Basis dieser Daten erinnert die App den Anwender an Geburtstage von Kontakten und schlägt vor, sich bei Freunden regelmäßig zu melden. Sicherheitsforschern ist es gelungen, die App mit bösartigem JavaScript-Code zu kapern, den sie in manipulierten Kontakt-Dateien versteckten. LG hat mit einem Update der App reagiert.
Fügt ein Nutzer einen manipulierten Kontakt hinzu, triggert dieser unter Umständen eine Aktion durch Smart Notice – zum Beispiel am angegebenen Geburtsdatum. Verwundbare Versionen der App führen dann den eingebetteten JavaScript-Code aus und die App gehorcht dem Angreifer. Der kann dann weiteren Schadcode aus dem Netz nachladen und kann dank der weitreichenden Berechtigungen der gekaperten App auch auf die SD-Karte zugreifen. Hier kann er zum Beispiel WhatsApp-Nachrichten kopieren. Außerdem hat er Zugriff auf Anruflisten, alle Kontakte und den Browser.
Nutzer des LG G3 sollten den vom Hersteller per Over-The-Air-Update angebotenen Patch installieren, um die App abzudichten. Entfernen lässt sie sich nicht ohne weiteres. (fab)
