LG G3 / G4 / G5でユーザーデータの不正流出に繋がる2件の脆弱性が発見される

投稿日時 1月 18th, 2017 by juggly 投稿カテゴリ » Androidニュース
キーワード: , , ,
コメントは受け付けていません。

LG が 2014 ~ 2016 年に発売した当時のフラッグシップモデル「G3」「G4」「G5」においてユーザーの個人情報の流出に繋がる 2 件の深刻な脆弱性が MWR Labs によって発見されました。

LG は Google や Samsung のように毎月一回のペースでセキュリティアップデートを実施しているので、今回伝えられた脆弱性も今後のアップデートで修正されると思います。

1 つ目は、LG Cloud Backup Application Path Traversal な名付けられた深刻度の高い脆弱性です。これは LG SmartShare Cloud アプリで発見されました。攻撃者は Dropbox などの外部のクラウドサービス上に保存されているファイルまたはフォルダの名前が分かっている場合に API の呼び出しを乗っ取り、ユーザー認証をクリアすることなく勝手に共有設定を切り替えることができると言われています。

2 つ目も LG SmartShare Cloud アプリにまつわる脆弱性で、攻撃者は同一 Wi-Fi ネットワークに接続している場合に G3 / G4 / G5 の任意のファイルをネットワーク経由で検索することが可能になると言われています。

どちらも LG アプリの問題なのでアプリの修正アップデートで解消するはず。また、同一 Wi-Fi ネットワークに接続している場合にのみ攻撃可能とされているので、被害に合う可能性はかなり低いと見られます。

Source : NWR Labs