Topthemen

Sicherheitslücke in LG-Bloatware gefährdet Millionen Nutzer

AndroidPIT LG G3 7
© nextpit

Eine Sicherheitslücke in der Bloatware-App Smart Notice macht Smartphones des Typs LG G3 verwundbar gegen Datendiebstahl. Sofern Ihr nicht manuell eine neue Software aufspielt, bleibt das 2014er Flaggschiff von LG angreifbar.

Eigentlich wurden mit Android 6.0 Marshmallow im November 2015 monatliche Sicherheitsupdates zur Norm. Leider haben sich noch nicht alle Smartphone-Hersteller dieser Tugend angeschlossen. Das LG G3 gehört zu den glücklichen, die daran teilnehmen. Doch nützt dies wenig, wenn seine vorinstallierten Bloatware-Apps zum Einfallstor für Hacker werden.

Im aktuellen Fall handelt es sich um die App Smart Notice. Diese hat im Grunde dieselbe Aufgabe wie Google Now. Sie soll Euch mit Wetter-Infos, Termin-Erinnerungen und Verkehrs-Infos versorgen. Auch erinnert sie Euch an die Geburtstage Eurer Kontakte und Freunde. Doch genau hierbei liegen einigen Schwächen in der Programmierung.

lg g3 smart notice update center
Die empfindliche Version lässt sich nicht einfach updaten. / © ANDROIDPIT

Forscher der Sicherheitsfirmen BugSec und Cynet haben Lücken im Code von Smart Notice entdeckt. So konnten sie über gezinkte Benachrichtigungen Zugriff auf Inhalte der microSD-Karte und des internen Speichers auslesen. Smart Notice erkennt eine Benachrichtigung über einen Geburtstag, führt aber in Wirklichkeit Schadcode aus. Der Anwender muss dabei sein Smartphone nicht einmal in die Hand nehmen.

Da die Forscher sich vor der Veröffentlichung dieses Fehlers mit LG in Verbindung gesetzt hatten, konnte LG inzwischen mit einem Patch der App reagieren. Doch müsst Ihr hierfür dieses Update aktiv installieren. Wenn Ihr nicht in Eurem Update Center automatische Updates aktiviert habt, seid Ihr aktuell über für die Sicherheitslücke angreifbar.

Die Aktualisierung ist per Update Center nicht möglich

Da sich das Update Center auf unserem Testgerät als wenig hilfreich erwies und keine Updates erlaubt hatte, führten wir das Update per USB-Kabel am Rechner durch. Ladet dazu die über 200 Megabyte große PC Suite von LG herunter und installiert sie auf Eurem Windows-Rechner oder Mac.

lg g3 smart notice android version
Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version. / © ANDROIDPIT

Verbindet dann Euer LG G3 mit dem Computer und erlaubt auf dem Smartphone USB-Debugging für den Computer. Dort sollte Euch gleich zu Anfang ein Software-Upgrade angeboten werden. Innerhalb von insgesamt fünfzehn Minuten solltet Ihr dann neuere Software installiert haben.

Niemand weiß, welche Version von Smart Notice den Patch beinhaltet

Leider handelt es sich dabei um die einzige offizielle Möglichkeit, die neue Version zu erhalten. Cynet-Chef David Leichner wird uns demnächst zuspielen, um welche Version von Smart Notice es sich genau handelt. Diese Information geht aus bisherigen Berichten nicht hervor.

Hersteller LG wird uns demnächst mitteilen, wie das Unternehmen langfristig mit derlei Problemen umgehen will. Denn prinzipiell wäre die Lücke besser zu schließen gewesen, würde man die App über den Play Store warten. Die Installation über die PC Suite ist recht einfach, aber weniger bequem als eine schnelle Over-the-Air-Verteilung, die einfach auf den Kunden zukommt.

Quelle: Cynet

Die besten Samsung-Smartwatches 2024

  Standardversion von 2023 Classic-Version von 2023 Standardversion von 2022 Pro-Version von 2022 Standardversion von 2021 Classic-Version von 2021
 
  Samsung Galaxy Watch 6 Product Image Samsung Galaxy Watch 6 Classic Product Image Samsung Galaxy Watch 5 Product Image Samsung Galaxy Watch 5 Pro Product Image Samsung Galaxy Watch 4 Product Image Samsung Galaxy Watch 4 Classic Product Image
Test
Zum Test: Samsung Galaxy Watch 6
Noch nicht getestet
 
Noch nicht getestet
 
Zum Test: Samsung Galaxy Watch 5 Pro
Zum Test: Samsung Galaxy Watch 4
Noch nicht getestet
 
Zum Angebot*
Zu den Kommentaren (39)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
39 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 1
    Clemens Knatz 30.10.2017 Link zum Kommentar

    Ohne Spaß:
    Das ist mir passiert. Durch Hardware Fehler, für den LG nicht aufkommen wollte, blieb mein Gerät immer auf Android 4.4 .
    Und vor nem halben Jahr hat sich mein Gerät verabschiedet. Deutlich hörbares Geräusch- Prozessor futsch.
    Da traurigste ist leider dass weder LG noch mein Vodafone hilfsbereit waren, bzw mir manchmal einfach nicht geglaubt haben.
    Macht Software Updates!!


  • 12
    Gelöschter Account 30.01.2016 Link zum Kommentar

    Na dann... Root und weg damit.


    • 52
      Gelöschter Account 31.01.2016 Link zum Kommentar

      Einen Einbruch damit zu lösen, die Türen direkt offen zu lassen, ist aber eine gewagte Lösung :D


  • r.m. 2
    r.m. 30.01.2016 Link zum Kommentar

    auch ich habe am g3 android 6.0 software 30b-EUR-XX android sicherheitspatch-level 2015-12-01. die system app. ist smart notice version 4.70.9 . der avira vulnerability checker -sagt -ihr gerät ist gefährdet. aber andere scanner finden nichts...mh? komisch oder?

    sowohl die updateversuche über OTA als auch über die lg suite sagen aus....aktuelle software.


  • 16
    Julian Daniels 30.01.2016 Link zum Kommentar

    Ich habe auf meinem g3 das android 6 update. Damit sollte doch alles gefixt sein. oder?


  • 26
    Gelöschter Account 30.01.2016 Link zum Kommentar

    Also ich habe Version 4.70.9 drauf mit Marshmallow und Google Patch 1.12.2015.

    Gelöschter Account


    • 32
      Gelöschter Account 30.01.2016 Link zum Kommentar

      Ich habe unter Lollipop Version 4.40.7 drauf, die oben laut Bildunterschrift die neuere gepatchte Version sein soll (zumindest vermute ich das, so genau ist es ja nicht ausgeführt).
      Ich habe aber in den letzten Wochen weder OTA noch per PC Suite Updates bekommen. Hat sich AP da jetzt etwa eine schon relativ alte Version gezogen und verkauft die als brandneue gepatchte?

      Aber damit bestätigst du meine Vermutung, dass unter den unterschiedlichen Android Versionen auch unterschiedliche Software Versionen verwendet werden. Diese Tatsache zusammen mit der ominösen neuen alten Version 4.40.7 und der Tatsache, dass unklar ist, welche Version angreifbar und welche gepatcht ist, macht die ganze Info zur Sicherheitslücke und die Updatehinweise zur Farce.


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 31.01.2016 Link zum Kommentar

        Die 4.40.7 ist die neuere, die unserem Testgerät aufgespielt wurde. Damit war zumindest der Zusammenhang geklärt, wie man die App aktualisieren kann. LG muss dringend die Updates solcher Apps von seinen viel zu seltenen System-Updates entkoppeln.

        r.m.


      • r.m. 2
        r.m. 31.01.2016 Link zum Kommentar

        Oh sorry... Ich habe mich verschrieben. Ich habe eben noch einmal im System nachgesehen.. Es ist die 4.70.9... aufgespielt... Ist das nicht komisch.. Mal sehen ob avira was dazu weiß. Andere Scanner sagen alles okay. Und bei lg gibt bis eben nichts weder OTA noch PC Suite. Danke


      • 32
        Gelöschter Account 31.01.2016 Link zum Kommentar

        Wie gesagt. Ich habe die 4.40.7 und seit Wochen kein OTA von LG bekommen und die PC Suite nach lesen dieses Artikelst überhaupt erst installiert.
        Wenn Smart Notice nicht über die normalen App-Updates vom Playstore kommt, dann ist mir schleierhaft, wie ich an eine jüngst veröffentlichte, gepatchte Version gekommen sein sollte.


    • r.m. 2
      r.m. 30.01.2016 Link zum Kommentar

      hi superwolf , genau die version 7.70.9 und Android 6.0 ...der avira scan sagt angreifbar, andere scanner sagen ok...komisch


  • MajorTom 58
    MajorTom 29.01.2016 Link zum Kommentar

    Monatlicher Patch von November 2015. Der ist wohl nie aktualisiert worden.
    Finde ich ungenügend was die Hersteller da machen.
    setzen ...6
    Macht das wenigstens Moto ab Android 5 ?


    • 40
      Gelöschter Account 30.01.2016 Link zum Kommentar

      Bei Moto soll ja auch erst einmal Stille herrschen ,nun das es ja amtlich ist und Lenovo es endgültig übernommen hat und es ja keine weiteren Smartphones mehr, mit dem Namen von Motorola versehen ,geben soll.

      Ich versuche es mal mit Cyanogen OS ,mal schauen ob das was bringt.

      Zwar ist dort auch noch das 12.1(Android 5.1) installiert ,aber wenigstens sollen keine Sicherheitslücken mehr vorhanden sein.

      Um Motorola ist es ziemlich ruhig geworden allgemein ,man hört auch nichts mehr davon ,ob das Moto e 2015 überhaupt Android 6 bekommt nun,oder auch die erste Moto g Reihe.


  • 32
    Gelöschter Account 29.01.2016 Link zum Kommentar

    @ APit: Habs zwar schon unten per edit in meinen kommentar eingefügt, aber frage noch mal direkt nach, falls das unter gegangen ist.

    Ihr zeigt Screenshots von Version 4.40.7 und schreibt darunter: "Die per PC Suite aufgespielte G3-Firmware hat eine neuere Smart-Notice-Version". Ist die Version 4.40.7 nun die aktualisierte oder noch die alte Version?

    Wenn ihr das Update gemacht habt, sollte es doch möglich sein, mal konkret zu schreiben, welche Version ihr erhalten habt.


  • Oxygen 20
    Oxygen 29.01.2016 Link zum Kommentar

    Das g4 ist davon nicht betroffen, oder?


  • 5
    Robert Reep 29.01.2016 Link zum Kommentar

    Gut, dass man diese Probleme mit CM13 nicht hat


  • 104
    Tenten 29.01.2016 Link zum Kommentar

    Falsche Stelle.


  • Jörg W. 64
    Jörg W. 29.01.2016 Link zum Kommentar

    Habe zwar kein lg g3 aber denke mal wie auch bei anderen Gerät die angreifbar sind und waren
    Panikmache kenne keinen der sich was eingefangen hat.

    Diesel


    • Rexxar 43
      Rexxar 30.01.2016 Link zum Kommentar

      Sicherheit ist keine Panikmache.
      Eine mögliche Lücke sollte geschlossen werden, unabhängig davon ob du wen kennst.


    • 1
      Clemens Knatz 30.10.2017 Link zum Kommentar

      Ich hab mir was eingefangen.
      Prozessor futsch.
      Auch wenns selten ist sollte man sowas ernstnehmen

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel