Solitamente i principali produttori di smartphone pubblicano il changelog delle rispettive patch di sicurezza ma capita, raramente per fortuna, che qualche esperto di sicurezza li batta sul tempo. È il caso di MWR Labs, una compagnia di sicurezza che ha scoperto due gravi vulnerabilità che colpiscono LG G3, LG G4 e LG G5.

I flagship degli ultimi tre anni di LG sono colpiti da due vulnerabilità legate ai servizi cloud del produttore sud coreano. In entrambi i casi la responsabilità è da attribuire all’applicazione LG SmartShare.Cloud che funge da gateway per diversi servizi cloud.

La prima vulnerabilità, chiamata LG Cloud Backup Application Path Traversal Vulnerability permette a un eventuale attaccante di modificare una chiamata API fatta verso Dropbox. La falla di sicurezza colpisce LG G3, LG G4 e LG G5 e permette di condividere file o cartelle senza richiedere una autenticazione preventiva, a patto di conoscere il nome della risorsa da condividere.

LG G3, LG G4 e LG G5 sono ancora una volta le vittime designate della seconda vulnerabilità, chiamata LG G3 Arbitrary File Retrieval che sfrutta ancora una volta LG SmartShare.Cloud che avvia un server HTTP quando lo smartphone viene connesso a una rete WiFi. Entrambe le vulnerabilità sono possibili solamente se l’attaccante è collegato alla stessa rete WiFi della potenziale vittima, quindi prestate la massima attenzione alle reti WiFi alle quali vi collegate.

Si tratta comunque di una misura di sicurezza applicabile in qualsiasi situazione, e valida soprattutto per le reti aperte come quelle di ristoranti, aeroporti e centri commerciali.