Não é raro vermos falhas de segurança serem descobertas no sistema Android. Google vem há mais de um ano oferecendo pacotes mensais de correções de brechas no sistema do robozinho, onde cada fabricante decide acompanhar ou não este ritmo de atualizações.

A LG vem trazendo atualizações de segurança com certa frequência para seus aparelhos, mesmo que não siga à risca a exigências da Google em atualizações mensais. Mas nem toda vulnerabilidade se restringe apenas ao código base do sistema, como aponta uma recente descoberta.

A MWR Labs acaba de divulgar que os últimos flagships da empresa contam com duas falhas graves de segurança. Estas falhas não envolvem especificamente o código base do Android, mas sim serviços que foram adicionados pela sul-coreana em seu software modificado e que acaba abrindo algumas brechas para possíveis invasões.

A primeira falha recebe o nome de “LG Cloud Backup Application Path Traversal Vulnerability” e afeta os modelos G3, G4 e G5. Esta falha está relacionada à aplicação LG SmartShare.Cloud, que conecta o serviço de armazenamento na nuvem da empresa com serviços como Dropbox e Box.

Esta falha permite a um atacante alterar a chamada da API que está sendo feita para o Dropbox. Como resultado, um invasor pode tornar um arquivo ou pasta compartilhável sem exigir autenticação ou interação do usuário se souber um nome do arquivo ou pasta armazenada no Dropbox.

A segunda vulnerabilidade listada pelo MWR Labs foi rotulada como “LG G3 Arbitrary File Retrieval from Cloud Services”, e também é dito que afeta os modelos G3, G4 e o G5 da LG. Novamente, essa vulnerabilidade está presente na aplicação LG SmartShare.Cloud fornecida pela fabricante.

Ela permite a um invasor recuperar um arquivo do aplicativo SmartShare.Cloud sem autenticação ou interação do usuário. Isso é possível porque o próprio aplicativo inicia um HTTP Server ouvindo em todas as interfaces quando o smartphone está conectado a uma rede Wi-Fi.

Mas calma, só é possível ter acesso aos arquivos do usuário se o atacante estiver conectado na mesma rede Wi-Fi. Por mais críticas que sejam estas vulnerabilidades, não há necessidade de os donos destes aparelhos entrarem em pânico. LG deverá incluir uma solução no próximo patch de segurança a ser lançado para os modelos citados.

• O LG G5 ainda não está disponível nas lojas brasileiras. Para ser notificado quando ele chegar clique aqui.
• O LG G4 ainda não está disponível nas lojas brasileiras. Para ser notificado quando ele chegar clique aqui.
• O LG G3 ainda não está disponível nas lojas brasileiras. Para ser notificado quando ele chegar clique aqui.