image

Updatesoftware LG-telefoons kwetsbaar voor MiTM-aanval

maandag 29 juni 2015, 14:50 door Redactie, 3 reacties

De software die elektronicafabrikant LG gebruikt voor het updaten van smartphone-apps controleert niet het SSL-certificaat van de server die de updates aanbiedt, waardoor gebruikers kwetsbaar zijn voor Man-in-the-Middle-aanvallen en er stilletjes apps op het toestel kunnen worden geïnstalleerd.

Dat meldt het Hongaarse beveiligingsbedrijf Search Labs. Het probleem speelt in de LG Update Center-app. Deze app fungeert als app store en laat gebruikers allerlei apps downloaden. Deze apps worden beheerd via de Update Center-app, die ook regelmatig op beschikbare updates controleert. Om te kijken of er updates beschikbaar zijn maakt de app via HTTPS verbinding met www.lgcpm.com. Het SSL-certificaat wordt echter niet gecontroleerd.

Een aanvaller die zich tussen de gebruiker en het internet bevindt hoeft alleen het verzoek van de Update Center-app op te vangen en kan vervolgens een andere downloadlocatie voor de update opgeven. Aangezien het updaten via APK-bestanden gebeurt waarvoor er geen verdere toestemming of interactie van gebruikers is vereist, kan een aanvaller op deze manier stilletjes kwaadaardige APK-bestanden op de telefoon van het doelwit installeren. Deze kwaadaardige apps kunnen elke willekeurige permissie gebruiken, behalve de permissies die met de systeemsleutel gesigneerd moeten zijn.

Volgens de onderzoekers kan het gehele proces in de achtergrond plaatsvinden, zonder dat gebruikers iets vermoeden. LG-smartphones zijn daarnaast zo ingesteld dat ze updates automatisch installeren zodra ze beschikbaar zijn. Het probleem werd november vorig jaar aan LG gemeld. Het bedrijf liet de onderzoekers weten dat het voor nieuwere modellen, met Android Lollipop, een update zou overwegen. De updates moeten echter nog steeds verschijnen.

"Op dit moment zijn alle Android-gebaseerde smartphones van LG kwetsbaar voor deze aanval en zullen dat ook volgens de plannen van LG blijven", zo schrijven de onderzoekers. Ze stellen verder dat LG vanwege "zakelijke belangen" geen updates zal uitbrengen. LG-gebruikers die zich willen beschermen krijgen het advies om "Auto app update" uit te schakelen en de Update Center-app alleen op betrouwbare wifi-netwerken te gebruiken om apps te installeren of bij te werken.

Reacties (3)
29-06-2015, 21:28 door Anoniem
Lijstje met merken dat ik niet meer koop breidt zich wel goed uit:
* Lenovo (superfish)
* Samsung (disable auto-update windows)
* LG (geen updates)
30-06-2015, 10:28 door Anoniem
Door Anoniem: Lijstje met merken dat ik niet meer koop breidt zich wel goed uit:
* Lenovo (superfish)
* Samsung (disable auto-update windows)
* LG (geen updates)

Iedereen maakt fouten. Gaat er om of je verantwoordelijkheid neemt voor je fouten en een oplossing aan je klanten geeft.

Voldoe je hier niet aan, dan ben je inderdaad een k*t bedrijf waar je zo min mogelijk van moet kopen en waarvan je iedereen moet laten weten dat ze dat merk beter overslaan.

Als klant wil ik serieus genomen worden. Ik betaal ook serieus geld voor de dienst of product. Dus zorg dat het doet wat het moet doen en fix problemen als die er zijn. Dan ben ik je eeuwige klant :-).
01-07-2015, 08:40 door Anoniem
Door Anoniem: Lijstje met merken dat ik niet meer koop breidt zich wel goed uit:
* Lenovo (superfish)
* Samsung (disable auto-update windows)
* LG (geen updates)
Met een goed geheugen en dergelijke redenen, breiden dergelijke lijstjes zich constant uit. Op termijn kan men dan niets meer kopen.

Denk daarbij aan de episode uit 2010 met Sony en diens PS3: fail0verflow krijgt een proces aan diens broek vanwege het vinden van vulnerabilities - en consumenten werden door Sony 'bestraft' door het na aankoop volledig wegnemen van een bijzonder belangrijke feature, OtherOS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.