LG corrige de sérieuses vulnérabilités dans son logiciel de clavier téléphonique

Les utilisateurs de smartphones fabriqués par LG Electronics Inc. sont encouragés à mettre à jour leurs téléphones rapidement après la divulgation de deux failles de sécurité dans le clavier par défaut.

D’abord détaillés par Check Point Security Software Technologies Ltd dans un rapport mardi , les deux vulnérabilités pourraient permettre à un attaquant d’exécuter à distance le code avec des privilèges élevés sur les appareils mobiles LG en manipulant le processus de mise à jour du clavier. Une fois l’accès obtenu, les pirates peuvent alors installer un enregistreur de frappe, leur permettant d’intercepter les frappes et donc les informations privées telles que les noms d’utilisateur et les mots de passe des comptes.

La première vulnérabilité concerne la manière dont les claviers LG prennent en charge différentes langues. Lorsqu’une nouvelle langue est installée pour la première fois ou qu’une langue existante est mise à jour, le périphérique tente de télécharger le package à partir d’un serveur, mais sans cryptage. La requête HTTP non sécurisé permet bidouilleurs d’intercepter la demande à l’ aide d’ un homme en le milieu ou l’ attaque écoute clandestine et ont leur propre version malicieuse de la mise à jour installée à la place.

La deuxième vulnérabilité concerne également la façon dont les téléphones LG traitent la sécurité, avec un étage de validation dans le logiciel du clavier LG ouvert à modification. Cela permet aux pirates d’obtenir des autorisations pour d’autres fichiers sur le téléphone lui-même, et ayant obtenu l’accès en utilisant la première vulnérabilité, ils peuvent alors facilement manipuler d’autres données sur le téléphone.

"Plus de 20% du marché des téléphones mobiles Android aux Etats-Unis est constitué de téléphones LG", a déclaré un porte-parole de Check Point à SiliconANGLE par e-mail. "Ces vulnérabilités ont été testées et prouvées exploitables sur certains des appareils phares de LG, y compris LG G4, LG G5 et LG G6."

La bonne nouvelle est que Check Point a informé LG des vulnérabilités bien avant de les divulguer publiquement, permettant à LG de concevoir des correctifs pour y remédier.

Les détails des correctifs sont disponibles sur le site de LG Security , mais comme c’est souvent le cas avec les mises à jour de téléphones mobiles, les transporteurs les distribuent aux utilisateurs. Cela signifie que même si certains utilisateurs de téléphones LG peuvent maintenant accéder aux mises à jour et les installer, d’autres peuvent devoir attendre, ce qui les rend vulnérables aux attaques.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 11 |

Actu en image