[MAJ] LG : une faille compromet la sécurité des smartphones du coréen

Il y a quelques jours, Search-Lab nous informait que le centre de mise à jour des smartphones LG comportait une faille susceptible de remettre en question la sécurité de quelques millions d'appareils. Une vulnérabilité de certificat SSL pourrait potentiellement favoriser les attaques de type man-in-the-middle. Les pirates pourraient ainsi installer des applications malveillantes à l'insu de l'utilisateur.

Entre temps, LG a réagi. On apprend ainsi que la faille a été comblée sur l'ensemble des appareils tournant sous Android Lollipop. Sont concernés les smartphones ayant été mis à jour sous cette nouvelle version, comme le LG G3 et ceux sortis directement sous Lollipop comme le LG G4. En revanche, le problème subsiste toujours sur les téléphones tournant sous KitKat ou sous une version antérieure de l'OS de Google.

Toutefois, la société a affirmé qu'un correctif était actuellement en cours de préparation pour les terminaux où la faille est encore présente et que celui-ci serait déployé dans les prochaines semaines.


 

En dehors des Nexus et de quelques exceptions, tous les smartphones Android disposent d'une interface personnalisée, avec des applications constructeurs, qui leur permet de se différencier de la concurrence. Si certains constructeurs comme HTC ou Motorola proposent les dernières versions de leurs applications propriétaires directement dans le Play Store, LG le fait par le biais de son centre de mises à jour. Et c'est justement ça qui pose problème.

LG securite
Le LG G4 face au LG G3.

Comme vient de le mettre en avant Search-Lab, le centre de mise à jour de LG propose, certes, une connexion HTTPS mais aucune vérification des certificats SSL. Par conséquent, la connexion pourrait potentiellement être interceptée et réacheminée vers des tiers. Et en passant par ce biais, un hacker pourrait potentiellement installer une application malveillante sur le téléphone via le centre de mises à jour, sans confirmation supplémentaire de l'utilisateur.

Par ailleurs, en passant par le centre de mises à jour, ces applications malveillantes pourraient avoir accès à toutes les autorisations du téléphone, excepté celles nécessitant la signature clé du système, posant ainsi un sérieux problème de sécurité.

Cette vulnérabilité a été découverte et signalée à LG en novembre 2014. Le constructeur coréen avait alors déclaré à Search-Lab qu'il envisageait de déployer un correctif pour les modèles récents dans une prochaine mise à jour, en l'occurence Android Lollipop, écartant ainsi les smartphones non éligibles du correctif. Toutefois, il semblerait que rien n'ait encore été fait et que l'ensemble des smartphones de la société coréenne soient potentiellement vulnérables à cette faille.

En attendant que LG ne se décide à proposer une vraie solution, Search-Lab conseille d'effectuer les mises à jour seulement sur les réseaux Wifi connus et sécurisés et de désactiver les mises à jour automatiques des applications, activées par défaut.

Via



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
coronavirus-lg-zte-mwc-2020
Coronavirus : LG et ZTE annulent leurs conférences au MWC 2020

Le coronavirus a contraint LG et ZTE à annuler leurs conférences prévue au MWC 2020 de Barcelone. Les deux firmes affirment vouloir éviter les risques et les désagréments inutiles pour ses employés. La GSM Association, l’organisme derrière le salon, assure…

lg
LG s’intéresse toujours aux smartphones pliables

LG vient de déposer deux nouvelles marques “Fold” et “Arc” – qui viennent s’ajouter à la liste des marques déposées par LG qui évoquent des smartphones pliables. Malgré cet intérêt en apparence renouvelé, on ne sait encore rien des plans…

lg-g8-thinq
LG veut reprendre les ventes de smartphones en France

LG ne compte pas abandonner définitivement le marché mobile français. Le constructeur pourrait s’appuyer sur les distributeurs et opérateurs pour vendre à nouveau ses flagships dans l’hexagone. Le LG G8 ThinQ présenté au MWC de Barcelone pourrait même débarquer cet…

lg-g8-cso
Le LG G8 a un écran OLED Crystal Sound qui sert de haut parleur

LG vient de révéler de nouveaux détails sur son G8 ThinQ : notamment la présence d’un écran OLED “Crystal Sound”. La technologie avait été initialement développée pour les télévisions de la marque – il s’agit d’utiliser l’écran comme le diaphragme…

Lg G8 ThinQ
LG G8 ThinQ : ces images le dévoilent sous tous les angles

Le LG G8 sera officialisé au MWC 2019 dans un peu plus d’une semaine. À l’instar de la plupart des smartphones attendus au salon de Barcelone, le G8 a déjà révélé une bonne partie de ses secrets. De nouvelles images…

lg-g8
Le LG V50 ThinQ 5G présenté au MWC 2019 avec le LG G8 ?

Le LG V50 ThinQ serait présenté dès le MWC 2019 de Barcelone et serait compatible 5G. Il viendrait notamment concurrencer le Galaxy S10 X 5G de Samsung et serait vendu plus de 1000 euros hors-taxe. Le LG G8 ThinQ sera…