Der Sicherheitsanbieter MWR InfoSecurity hat zwei Sicherheitslücken in Smartphone-Software von LG öffentlich gemacht. Davon betroffen sind die Flaggschiff-Modelle G3, G4 und das im vergangenen Jahr vorgestellte G5. Angreifer können unter Umständen auf Dateien eines Nutzers zugreifen, die der auf den Cloud-Speicherdiensten Box oder Dropbox abgelegt hat.
Im ersten Fall sind Geräte angreifbar, die ein WLAN-Netzwerk benutzen. Der Sicherheitswarnung zufolge startet die anfällige App einen HTTP-Server. Wird die App für ein Cloud-Backup auf Box oder Dropbox benutzt, können unbefugte Dritte im selben WLAN-Netzwerk Mediendateien des Nutzers ohne Eingabe eines Passworts oder Nutzernamen von Box oder Dropbox herunterladen.
Bei der zweiten Schwachstelle handelt es sich um einen Path-Traversal-Bug, der es erlaubt, API-Aufrufe an Dropbox mithilfe spezieller URL-Parameter zu manipulieren. Als Folge können zwar keine Dateien heruntergeladen werden, ein Hacker könnte jedoch ihm bekannte Dateien oder Ordner in der Dropbox seines Opfers für beliebige Nutzer freigeben – und zwar ohne Interaktion mit dem eigentlichen Besitzer.
LG hat laut MWR InfoSecurity inzwischen Patches für die Schwachstellen veröffentlicht. Ein Fix findet sich demnach in der Version 2.4 der App LG Smart.Share.Cloud. LG zufolge sollten Geräte mit der Android-Sicherheitspatch-Ebene 1. Dezember 2016 nicht anfällig sein. Von den Lücken wusste das koreanische Unternehmen bereits seit Anfang Juli 2016.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…