Una vulnerabilidad en el bloatware del LG G3 pone en peligro a millones de usuarios
Una vulnerabilidad en la aplicación preinstalada Smart Notice hace que los smartphones de la familia LG G3 sean vulnerables al robo de datos. Si no has recibido una actualización vía OTA o no la has instalado tras recibirla teniendo un smartphone de la familia LG G3, entonces eres vulnerable al robo de datos por parte de cualquier atacante.
- Fallo de Stagefright pone en peligro 1000 millones de dispositivos con ficheros MP3
- ¡Únete a nosotros para luchar contra el bloatware!
Exactamente fue con las actualizaciones de seguridad mensuales en Android 6.0 Marshmallow de noviembre del 2015. Desafortunadamente no todos los fabricantes de smartphones se han unido a esta ola de actualizaciones. El LG G3 es uno de los afortunados que se han apuntado. Pero de poco sirve si su bloatware es una puerta de entrada para los hackers por la que pueden entrar sin llamar y ponerse como Homer Simpson por su casa (en ropa interior).
El caso que nos ocupa es la aplicación Smart Notice, que tiene básicamente similares funciones que Google Now. Provee de información meteorológica, recordatorios de citas e información de tráfico. También tiene el detalle de recordarte los cumpleaños de amigos y contactos, porque LG cree que eres muy olvidadizo (conmigo tendrían razón).
Los investigadores de las empresas de seguridad BugSec y Cynet han descubierto vulnerabilidades en el código de Smart Notice. Con este error pueden tener acceso al contenido de la tarjeta microSD y almacenamiento interno. Smart Notice reconoce una notificación de un cumpleaños, pero de hecho conduce también un código malicioso. El usuario no necesita siquiera coger tu smartphone para ello.
Tiene solución
Debido a que los investigadores habían contactado con LG antes de la publicación de este fallo, LG podría responder liberando una actualización que aplique un parche de la aplicación. Para ello hay que aplicar manualmente esta actualización, pues a pesar de que tengas las actualizaciones automáticas habilitadas, no la detectará.
Las actualizaciones a través del Centro de Actualizaciones no están disponibles.
Dado que el Centro de Actualizaciones del terminal de prueba demostró ser inútil a pesar de que estaban habilitadas las actualizaciones automáticas, se hizo la actualización a través del ordenador mediante cabe USB. Hay que descargar los más de 200 MB de PC Suite e instalarlo en el PC con Windows o Mac.
Después debes conectar tu LG G3 al PC con la depuración USB activada. En el momento en el que detecte una actualización de software podrás instalarla, lo cual llevará unos quince minutos.
Nadie sabe exactamente qué versión de Smart Notice incluye el parche.
Por desgracia esta es la única forma oficial de obtener una nueva versión. El jefe de Cynet David Leichner no ha aclarado a qué versión de Smart Notice se actualizará exactamente, ya que no se ha dicho nada acerca de esto en los informes anteriores.
LG pronto dirá cómo hará frente a esta clase de problemas a largo plazo. Teniendo en cuenta que lo mejor hubiera sido quizás deshabilitar la aplicación, cabría la posibilidad detrasladar la aplicación a Google Play (como ha hecho HTC con varias de sus apps). La instalación a través de PC Suite es muy sencilla, pero menos cómoda que una liberación vía OTA, que beneficia más al cliente.
¿Tienes un LG G3 con la versión maliciosa del Smart Notice? ¿Has conseguido solucionarlo?
Fuente: Cynet
Yo tengo la versión4.40.12 y me la han actualizado hace poco,
en México no a llegado la actualización 6.0
Ya con LG estoy ademas de desepcionado, enfurecido con la marca!, tengo mi G4 que en cualquier momento pueda CAER EN LOS FAMOSOS REINICIOS INVOLUNTARIOS, y tener que llevarlo a reparar (segun la marca de forma gratuita porque el problema es de hardware, pero hasta cuanto tiempo sera gratuito?), ahora una vulnerabilidad en el smart notice del G3!, ahora tendré que utilizar mi G3 pendiente del fallo!, y sin actualización oficial de marshmallow aun esperado....,ya cuantas decepciones mas LG...ya tenemos suficiente con la ya fallida y anunciada desepcion con el G5 y su gama miserable K....
Tengo la Versión 4.70.9 Creo que debería estar a salvo...
Esa noticia es buena y ya se soluciono con una actualización
Si está rooteado el teléfono puedo actualizar igual?
Por si acaso desrootea el terminal, desde la propia app de SuperSU puedes hacerlo fácilmente si no tienes ningún recovery modificado. En caso de tenerlo, entonces primero debes poner de nuevo el recovery stock y luego desrootear.
Dale gracias! :)
Hola, gracias por el artículo. Estuve revisando la versión del smartnotice de mi LG G3 y la versión que tengo es 4.40.11 con Android 5.1.1, tendrá el problema ésta también?. Gracias.
Puedes checar vía PC Suite si tienes la actualización pendiente.
En principio pareces estar fuera de peligro, pero como ha dicho Daniel, mira a ver si tienes actualización desde PC Suite con el G3 conectado al PC obviamente jeje).
la verdad no se que version tengo smart notice pero hace poco se me actualizo la aplicación asi q no se si sigue siendo vulnerable
Puedes checar vía PC Suite si tienes la actualización pendiente.
Hola Santiago
Y no pueden desacerse de ese código malicioso llamado Smart Notice, para de esa manera haciendo que desaparezca no pueda acceder a los datos que hay en la tarjeta SD?.
Esa pudiera ser una solución?
Una Donostiarra 😉
Esa solución deben incluirla en la siguiente actualización.
Una solución podría haber sido deshabilitar la app hasta corregir el fallo, pero ahora mismo lo más viable es buscar una actualización de Smart Notice vía PC Suite.