Des groupes de chercheurs spécialisés dans la sécurité ont révélé que l’application Smart Notice préinstallée sur le LG G3 permettait à un pirate de s’emparer de nombreuses données, discussions et images stockées sur le téléphone.

lg-g3

L’application Smart Notice est installée par défaut sur tous les nouveaux smartphones de milieu et de haut de gamme de LG. Elle permet, entre autres, de créer automatiquement des rappels concernant ses contacts, la météo ou un agenda. Sur le LG G3 elle a une fonction supplémentaire dont les utilisateurs se seraient bien passée : elle permettait jusqu’à il y a encore peu à un pirate de voler des données.

Les chercheurs des groupes BugSec et Cynet ont en effet averti LG qu’une faille dans l’application pouvait permettre à un pirate de passer par une faille permettant d’exécuter du code. Il suffisait ainsi d’envoyer ou d’entrer un contact dans le téléphone et attendre que l’application Smart Notice crée un rappel pour le code lié à ce contact s’active. L’attaquant pouvait alors accéder à une partie des données stockées sur la carte SD, faire en sorte que le téléphone ouvre un site web permettant de prendre le contrôle du téléphone ou encore lancer une attaque DDOS sur le téléphone.

En savoir plus : Test du LG G3

 

Une faille déjà corrigée

Ars Technica a publié la procédure d’accès à cette faille, avec des exemples à l’appui. LG, qui a été prévenu quelques jours avant la révélation publique de cette faille a déjà patché son application sur le LG G3. Une faille importante puisqu’elle concerne à priori tous les LG G3, soit au moins une dizaine de millions d’appareils.