اكتشاف ثغرات أمنية شديدة الخطورة من أجل LG G3 و G4 و G5

يتم تنبيهنا عمومًا إلى نقاط الضعف في Android بالنسبة للهواتف الرئيسية مثل هواتف Nexus / Pixel و LG و Samsung مباشرة من هذه الشركات شهريًا. في بعض الأحيان ، هناك بعض الاستغلالات المكتشفة في منتصف الشهر وهذا ما حدث مع LG الآن.

نشرت MWR Labs للتو اثنين من الثغرات الأمنية لـ LG G3 و LG G4 و LG G5 والتي تم تحديدها كقضايا شديدة الخطورة.

أول ما نريد التحدث عنه قد تم تسميته باسم قابلية عدم تحمل عبور LG Cloud Backup Application Path Traversal ، ويقال إنه يعمل على أجهزة LG G3 و G4 و G5. تحدث مشكلة عدم الحصانة هذه مع تطبيق LG SmartShare.Cloud ، والذي يعد بوابة لمختلف الخدمات السحابية مثل Dropbox و Box. لذلك تم اكتشاف ثغرة أمنية في Path Traversal باستخدام هذا التطبيق الذي يسمح للمهاجم بتغيير مكالمة واجهة برمجة التطبيقات التي يتم إجراؤها على Dropbox.

نتيجة لذلك ، يمكن للمهاجم إنشاء ملف أو مجلد قابل للمشاركة دون الحاجة إلى المصادقة أو تفاعل المستخدم إذا كانوا يعرفون اسم الملف أو المجلد المخزن على Dropbox. تم تصنيف الثغرة الثانية المدرجة في MWR Labs باسم LG G3 Arbitrary File Retrieval من Cloud Services ، ويقال أيضًا إنها تؤثر على LG G3 و G4 و G5 من LG. مرة أخرى ، تكون مشكلة عدم الحصانة هذه ممكنة بسبب تطبيق LG SmartShare.Cloud الذي يوفره OEM.

هذه المرة ، تم اكتشاف ثغرة أمنية تسمح للمهاجم باسترداد ملف من تطبيق SmartShare.Cloud دون المصادقة أو تفاعل المستخدم. هذا ممكن لأن التطبيق نفسه يبدأ في تشغيل خادم HTTP على جميع الواجهات عندما يكون الهاتف الذكي متصلاً بشبكة WiFi. كل من هذه الثغرات الأمنية ممكنة فقط إذا كان المهاجم على نفس الشبكة التي يعمل بها LG G3 أو G4 أو G5.

المصدر: مختبرات MWR