[MAJ] LG : une faille compromet la sécurité des smartphones du coréen

 

Il y a quelques jours, Search-Lab nous informait que le centre de mise à jour des smartphones LG comportait une faille susceptible de remettre en question la sécurité de quelques millions d'appareils. Une vulnérabilité de certificat SSL pourrait potentiellement favoriser les attaques de type man-in-the-middle. Les pirates pourraient ainsi installer des applications malveillantes à l'insu de l'utilisateur.

Entre temps, LG a réagi. On apprend ainsi que la faille a été comblée sur l'ensemble des appareils tournant sous Android Lollipop. Sont concernés les smartphones ayant été mis à jour sous cette nouvelle version, comme le LG G3 et ceux sortis directement sous Lollipop comme le LG G4. En revanche, le problème subsiste toujours sur les téléphones tournant sous KitKat ou sous une version antérieure de l'OS de Google.

Toutefois, la société a affirmé qu'un correctif était actuellement en cours de préparation pour les terminaux où la faille est encore présente et que celui-ci serait déployé dans les prochaines semaines.


 

En dehors des Nexus et de quelques exceptions, tous les smartphones Android disposent d'une interface personnalisée, avec des applications constructeurs, qui leur permet de se différencier de la concurrence. Si certains constructeurs comme HTC ou Motorola proposent les dernières versions de leurs applications propriétaires directement dans le Play Store, LG le fait par le biais de son centre de mises à jour. Et c'est justement ça qui pose problème.

LG securite
Le LG G4 face au LG G3.

Comme vient de le mettre en avant Search-Lab, le centre de mise à jour de LG propose, certes, une connexion HTTPS mais aucune vérification des certificats SSL. Par conséquent, la connexion pourrait potentiellement être interceptée et réacheminée vers des tiers. Et en passant par ce biais, un hacker pourrait potentiellement installer une application malveillante sur le téléphone via le centre de mises à jour, sans confirmation supplémentaire de l'utilisateur.

Par ailleurs, en passant par le centre de mises à jour, ces applications malveillantes pourraient avoir accès à toutes les autorisations du téléphone, excepté celles nécessitant la signature clé du système, posant ainsi un sérieux problème de sécurité.

Cette vulnérabilité a été découverte et signalée à LG en novembre 2014. Le constructeur coréen avait alors déclaré à Search-Lab qu'il envisageait de déployer un correctif pour les modèles récents dans une prochaine mise à jour, en l'occurence Android Lollipop, écartant ainsi les smartphones non éligibles du correctif. Toutefois, il semblerait que rien n'ait encore été fait et que l'ensemble des smartphones de la société coréenne soient potentiellement vulnérables à cette faille.

En attendant que LG ne se décide à proposer une vraie solution, Search-Lab conseille d'effectuer les mises à jour seulement sur les réseaux Wifi connus et sécurisés et de désactiver les mises à jour automatiques des applications, activées par défaut.

Via



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
lg rollable écran enroulable ces 2021
CES 2021 : voici le LG Rollable, un nouveau smartphone avec écran enroulable

LG a profité du CES 2021 pour dévoiler le LG Rollable, un smartphone construit autour d’un étonnant écran enroulable. Bonne nouvelle, il ne s’agit pas seulement d’un concept. Le smartphone enroulable sera disponible à vente dans le courant de l’année 2021.  Ce lundi 11 janvier 2021, le…