Updatesoftware LG-telefoons kwetsbaar voor MiTM-aanval

[Captain Kirk]

De software die elektronicafabrikant LG gebruikt voor het updaten van smartphone-apps controleert niet het SSL-certificaat van de server die de updates aanbiedt, waardoor gebruikers kwetsbaar zijn voor Man-in-the-Middle-aanvallen en er stilletjes apps op het toestel kunnen worden geïnstalleerd.

Dat meldt het Hongaarse beveiligingsbedrijf Search Labs. Het probleem speelt in de LG Update Center-app. Deze app fungeert als app store en laat gebruikers allerlei apps downloaden. Deze apps worden beheerd via de Update Center-app, die ook regelmatig op beschikbare updates controleert. Om te kijken of er updates beschikbaar zijn maakt de app via HTTPS verbinding met www.lgcpm.com. Het SSL-certificaat wordt echter niet gecontroleerd.

Een aanvaller die zich tussen de gebruiker en het internet bevindt hoeft alleen het verzoek van de Update Center-app op te vangen en kan vervolgens een andere downloadlocatie voor de update opgeven. Aangezien het updaten via APK-bestanden gebeurt waarvoor er geen verdere toestemming of interactie van gebruikers is vereist, kan een aanvaller op deze manier stilletjes kwaadaardige APK-bestanden op de telefoon van het doelwit installeren. Deze kwaadaardige apps kunnen elke willekeurige permissie gebruiken, behalve de permissies die met de systeemsleutel gesigneerd moeten zijn.

Volgens de onderzoekers kan het gehele proces in de achtergrond plaatsvinden, zonder dat gebruikers iets vermoeden. LG-smartphones zijn daarnaast zo ingesteld dat ze updates automatisch installeren zodra ze beschikbaar zijn. Het probleem werd november vorig jaar aan LG gemeld. Het bedrijf liet de onderzoekers weten dat het voor nieuwere modellen, met Android Lollipop, een update zou overwegen. De updates moeten echter nog steeds verschijnen.

"Op dit moment zijn alle Android-gebaseerde smartphones van LG kwetsbaar voor deze aanval en zullen dat ook volgens de plannen van LG blijven", zo schrijven de onderzoekers. Ze stellen verder dat LG vanwege "zakelijke belangen" geen updates zal uitbrengen. LG-gebruikers die zich willen beschermen krijgen het advies om "Auto app update" uit te schakelen en de Update Center-app alleen op betrouwbare wifi-netwerken te gebruiken om apps te installeren of bij te werken.

 

bron: security.nl