[MAJ] LG : une faille compromet la sécurité des smartphones du coréen

Maj. le 5 avril 2016 à 22 h 17 min

Il y a quelques jours, Search-Lab nous informait que le centre de mise à jour des smartphones LG comportait une faille susceptible de remettre en question la sécurité de quelques millions d’appareils. Une vulnérabilité de certificat SSL pourrait potentiellement favoriser les attaques de type man-in-the-middle. Les pirates pourraient ainsi installer des applications malveillantes à l’insu de l’utilisateur.

Entre temps, LG a réagi. On apprend ainsi que la faille a été comblée sur l’ensemble des appareils tournant sous Android Lollipop. Sont concernés les smartphones ayant été mis à jour sous cette nouvelle version, comme le LG G3 et ceux sortis directement sous Lollipop comme le LG G4. En revanche, le problème subsiste toujours sur les téléphones tournant sous KitKat ou sous une version antérieure de l’OS de Google.

Toutefois, la société a affirmé qu’un correctif était actuellement en cours de préparation pour les terminaux où la faille est encore présente et que celui-ci serait déployé dans les prochaines semaines.


 

En dehors des Nexus et de quelques exceptions, tous les smartphones Android disposent d’une interface personnalisée, avec des applications constructeurs, qui leur permet de se différencier de la concurrence. Si certains constructeurs comme HTC ou Motorola proposent les dernières versions de leurs applications propriétaires directement dans le Play Store, LG le fait par le biais de son centre de mises à jour. Et c’est justement ça qui pose problème.

LG securite
Le LG G4 face au LG G3.

Comme vient de le mettre en avant Search-Lab, le centre de mise à jour de LG propose, certes, une connexion HTTPS mais aucune vérification des certificats SSL. Par conséquent, la connexion pourrait potentiellement être interceptée et réacheminée vers des tiers. Et en passant par ce biais, un hacker pourrait potentiellement installer une application malveillante sur le téléphone via le centre de mises à jour, sans confirmation supplémentaire de l’utilisateur.

Par ailleurs, en passant par le centre de mises à jour, ces applications malveillantes pourraient avoir accès à toutes les autorisations du téléphone, excepté celles nécessitant la signature clé du système, posant ainsi un sérieux problème de sécurité.

Cette vulnérabilité a été découverte et signalée à LG en novembre 2014. Le constructeur coréen avait alors déclaré à Search-Lab qu’il envisageait de déployer un correctif pour les modèles récents dans une prochaine mise à jour, en l’occurence Android Lollipop, écartant ainsi les smartphones non éligibles du correctif. Toutefois, il semblerait que rien n’ait encore été fait et que l’ensemble des smartphones de la société coréenne soient potentiellement vulnérables à cette faille.

En attendant que LG ne se décide à proposer une vraie solution, Search-Lab conseille d’effectuer les mises à jour seulement sur les réseaux Wifi connus et sécurisés et de désactiver les mises à jour automatiques des applications, activées par défaut.

Via

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
LG travaille sur un projet fou de stylet à écran enroulable

LG a déposé un brevet pour un stylet avec deux écrans dont un enroulable, le second étant plus petit et servant aux notifications ou à l’heure. L’appareil est également équipé d’un microphone et d’un haut-parleur afin de passer des appels,…