[MAJ] LG : une faille compromet la sécurité des smartphones du coréen

Maj. le 17 janvier 2019 à 20 h 11 min

Il y a quelques jours, Search-Lab nous informait que le centre de mise à jour des smartphones LG comportait une faille susceptible de remettre en question la sécurité de quelques millions d’appareils. Une vulnérabilité de certificat SSL pourrait potentiellement favoriser les attaques de type man-in-the-middle. Les pirates pourraient ainsi installer des applications malveillantes à l’insu de l’utilisateur.

Entre temps, LG a réagi. On apprend ainsi que la faille a été comblée sur l’ensemble des appareils tournant sous Android Lollipop. Sont concernés les smartphones ayant été mis à jour sous cette nouvelle version, comme le LG G3 et ceux sortis directement sous Lollipop comme le LG G4. En revanche, le problème subsiste toujours sur les téléphones tournant sous KitKat ou sous une version antérieure de l’OS de Google.

Toutefois, la société a affirmé qu’un correctif était actuellement en cours de préparation pour les terminaux où la faille est encore présente et que celui-ci serait déployé dans les prochaines semaines.


 

En dehors des Nexus et de quelques exceptions, tous les smartphones Android disposent d’une interface personnalisée, avec des applications constructeurs, qui leur permet de se différencier de la concurrence. Si certains constructeurs comme HTC ou Motorola proposent les dernières versions de leurs applications propriétaires directement dans le Play Store, LG le fait par le biais de son centre de mises à jour. Et c’est justement ça qui pose problème.

LG securite
Le LG G4 face au LG G3.

Comme vient de le mettre en avant Search-Lab, le centre de mise à jour de LG propose, certes, une connexion HTTPS mais aucune vérification des certificats SSL. Par conséquent, la connexion pourrait potentiellement être interceptée et réacheminée vers des tiers. Et en passant par ce biais, un hacker pourrait potentiellement installer une application malveillante sur le téléphone via le centre de mises à jour, sans confirmation supplémentaire de l’utilisateur.

Par ailleurs, en passant par le centre de mises à jour, ces applications malveillantes pourraient avoir accès à toutes les autorisations du téléphone, excepté celles nécessitant la signature clé du système, posant ainsi un sérieux problème de sécurité.

Cette vulnérabilité a été découverte et signalée à LG en novembre 2014. Le constructeur coréen avait alors déclaré à Search-Lab qu’il envisageait de déployer un correctif pour les modèles récents dans une prochaine mise à jour, en l’occurence Android Lollipop, écartant ainsi les smartphones non éligibles du correctif. Toutefois, il semblerait que rien n’ait encore été fait et que l’ensemble des smartphones de la société coréenne soient potentiellement vulnérables à cette faille.

En attendant que LG ne se décide à proposer une vraie solution, Search-Lab conseille d’effectuer les mises à jour seulement sur les réseaux Wifi connus et sécurisés et de désactiver les mises à jour automatiques des applications, activées par défaut.

Via

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
LG veut reprendre les ventes de smartphones en France

LG ne compte pas abandonner définitivement le marché mobile français. Le constructeur pourrait s’appuyer sur les distributeurs et opérateurs pour vendre à nouveau ses flagships dans l’hexagone. Le LG G8 ThinQ présenté au MWC de Barcelone pourrait même débarquer cet…

Le LG G8 a un écran OLED Crystal Sound qui sert de haut parleur

LG vient de révéler de nouveaux détails sur son G8 ThinQ : notamment la présence d’un écran OLED « Crystal Sound ». La technologie avait été initialement développée pour les télévisions de la marque – il s’agit d’utiliser l’écran comme le diaphragme…

La 5G ? LG mise déjà sur le futur réseau 6G !

La 5G vous paraît encore appartenir au futur ? LG mise déjà sur la 6G ! Le constructeur coréen annonce en effet dans un communiqué de presse l’ouverture d’un centre de recherche sur la 6G. LG pense que la transition…

LG G8 ThinQ : découvrez-le dans un premier visuel officiel

Le LG G8 ThinQ apparaît dans un premier rendu presse officiel en amont de sa présentation au MWC 2019 de Barcelone. On y distingue entre autres la présence d’une large encoche. Double capteur photo à l’arrière et capteur d’empreintes situé…

LG va bien lancer un smartphone 5G lors du MWC 2019

LG vient de confirmer auprès de SlashGear qu’il profitera du MWC qui se tient à Barcelone fin février pour présenter un smartphone 5G. On apprend également que ce smartphone aura un système de refroidissement (un caloduc) particulièrement large et performant…