G3 : LG corrige une importante faille de sécurité dans son application Smart Notice
Contacts malveillants
LG distribue actuellement une importante mise à jour de son application mobile Smart Notice pour ses smartphones G3. La nouvelle mouture corrige une faille de sécurité dont le constructeur a été averti par la société Cynet. Dans un billet, celle-ci explique que cette brèche peut permettre une récupération de données personnelles.
Le G3 de LG est fourni par défaut avec une application nommée Smart Notice. Elle est chargée de fournir différentes notifications et recommandations liées aux contacts. Elle pourra par exemple signaler les anniversaires, proposer de sauvegarder les informations liées au dernier appel entrant pour créer un nouveau contact, et suggère différentes manières de rester en contact avec certaines personnes.
La brèche permet le vol d'informations
Mais l’application comporte une faille. Découverte par la société de sécurité Cynet, elle permettrait à un attaquant de voler « des données, d’extraire les informations privées sur la carte SD, y compris les données de WhatsApp et les images privées », permettre l’installation de malwares, déclencher des exécutions arbitraires de code JavaScript ou encore exposer l’appareil à des attaques par déni de service.
Le danger vient du fait que le G3 est un appareil relativement courant, Cynet indiquant qu’environ dix millions de personnes l’ont actuellement. D’autre part, la présence systématique de l’application fait que tous les appareils sont vulnérables, à moins bien sûr qu’elle ait été manuellement supprimée, par souhait d’une configuration plus minimale, ou lors d’un passage à un système alternatif comme Cyanogen.
Le code malveillant planqué dans des contacts
L’exploitation de la faille est passée, dans le cas de Cynet, par l’envoi de contacts dont les fiches contenaient du code malveillant. Ce dernier se manifestait dans les alertes, comme les notifications d’anniversaire, Smart Notice exécutant alors le code sans se méfier. Les chercheurs sont même parvenus avec un peu de patience à faire exécuter du code malveillant à distance, prendre le contrôle de l’appareil et provoquer l’installation d’autres malwares.
Le problème, tel qu’expliqué par Cynet, réside dans le fait que Smart Notice se base sur un composant WebView, donc pouvant afficher une page classique. Le but de l’exploitation était de réussir à injecter dans ce contenu web du code JavaScript. Les chercheurs ont réussi l’exploitation sur deux scénarios, l’un s’appuyant sur la fonction d’alerte pour les anniversaires, l’autre sur les notifications invitant à rappeler un contact. Ils ont alors détourné le rôle des boutons correspondants avec succès.
Les utilisateurs invités à mettre rapidement à jour leur smartphone
Ils ont également créé plusieurs POC (proof-of-concept) permettant diverses actions. Le premier permet ainsi, comme indiqué précédemment, de dérober les fichiers stockés sur la carte SD. Un autre permet de surcharger le smartphone en requêtes (DoS), et un dernier permet d’obliger le navigateur à ouvrir la page web souhaitée par l’attaquant. Quant aux vecteurs d’attaque, Cynet en aborde deux : les QR Codes et les envois de contacts par MMS ou à travers des messageries telles que WhatsApp.
Évidemment, si Cynet donne autant d’informations détaillées, c’est que la nouvelle version de Smart Notice est déjà proposée au téléchargement. Les utilisateurs sont donc invités à mettre à jour leur smartphone aussi rapidement que possible. Cynet indique dans son rapport que le constructeur a d'ailleurs été assez réactif après le signalement du problème.
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/01/2016 à 15h18
Le 01/02/2016 à 06h47
En plus ça fait sauter la garantie, non ?
Vu qu’il est neuf, je vais m’abstenir pour l’instant.
Le 01/02/2016 à 08h33
Le mien est en réparation mais j’y penserai.
Le 01/02/2016 à 11h49
Le 01/02/2016 à 21h59
Tu ne peux pas la désinstaller sans rooter mais tu peux la désactiver dans paramètres -> applications -> smartnotice (il faut “afficher les applis systèmes” si tu est sous android 6.0).
" />
Perso je viens de recevoir la mise à jour Marshmallow sur mon G4
Le 03/02/2016 à 08h13
Le 29/01/2016 à 16h02
Je viens tout juste d’installer Marshmallow, suis-je toujours impacté ?
Par mesure de précaution, je viens de désinstaller ce bloatware
Le 29/01/2016 à 19h16
Je ne vois pas l’App sur mes deux G3. Sûrement désinstallée car inutile.
Mais merci pour l’info !
Le 29/01/2016 à 20h17
Le 29/01/2016 à 20h21
Pas officiellement en France, sauf erreur de ma part. J’ai installé une version non officielle, le gain en batterie est fulgurant, ainsi que la fluidité de la bête ;)
Le 29/01/2016 à 22h00
Je dois être bien fatigué ce vendredi soir, et j’ai mon G3 depuis peu (sans parler du fait que je viens d’un ZTE Open C avec FirefoxOS), mais comment on désinstalle Smart Notice ?
Je regarde dans les options>applications, je ne vois rien pour le désinstaller.
G3 livré avec Android 5.0 pour ma part.
Le 30/01/2016 à 01h12
Root + LuckyPatcher par exemple
Le 30/01/2016 à 13h43
et pour désinstaller cette merde de mcafee ? toujours rien ?
Le 30/01/2016 à 14h42
Ah, il faut le rooter… je vois.
Merci.