LG heeft eind vorig jaar lekken in zijn eigen SmartShare.Cloud-applicatie gedicht, waarmee gebruikers back-ups kunnen beheren. MWR Labs ontdekte de lekken en schrijft nu dat de LG G3, G4 en G5 kwetsbaar waren en dat toegang mogelijk was tot Dropbox-data.
Het gaat om twee lekken, schrijft MWR Labs. Het eerste maakt het mogelijk dat een aanvaller op hetzelfde netwerk als het slachtoffer een api call naar Dropbox kan onderscheppen. Als de aanvaller kennis heeft van namen van bestanden of mappen, kan hij door het aanpassen van het verzoek de folder of het bestand deelbaar maken en zo toegang verkrijgen. Hiervoor zou het slachtoffer niets hoeven doen en hij zou er ook niets van merken.
Volgens het beveiligingsbedrijf zijn daardoor mappen met voor de hand liggende namen als 'documenten' en 'afbeeldingen' eenvoudig te vinden. Het tweede lek houdt verband met het eerste en liet de aanvaller vervolgens zonder authenticatie de bestanden opvragen waarvan hij de naam wist. Hiervoor moest de aanvaller eveneens op hetzelfde netwerk aanwezig zijn.
LG heeft de patches doorgevoerd in versie 2.4.0 van de SmartShare.Cloud-applicatie door versleuteling en ondertekening in te voeren en door de oorsprong en het doel van verzoeken te controleren.
