Abo
  • Services:
Anzeige
Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Anzeige

Das auf LG-Smartphones installierte Update-Center ist aufgrund einer nicht ausreichend gesicherten SSL-Verbindung anfällig für Angriffe: Wie das Budapest University of Technology and Economics' Security Evaluation and Research Laboratory (Search-Lab) feststellte, überprüfe das Programm nicht die SSL-/TLS-Zertifikate des LG-Servers, von dem die Software heruntergeladen wird. Die Internetseite Softpedia hatte über das Problem berichtet.

Man-in-the-Middle-Attacke möglich

LGs Update-Center ist zum einen für die Aktualisierung des Android-Systems zuständig, zum anderen für Updates von über LGs App-Store installierte Anwendungen. Apps werden beim Update ohne weitere Bestätigung des Nutzers als APK-Dateien heruntergeladen und auf dem Smartphone installiert und könnten theoretisch durch manipulierte Anwendungen ersetzt werden. Bei einer solchen Man-in-the-Middle-Attacke setzt sich der Angreifer zwischen das nach Updates suchende Gerät und den LG-Server.

Um die Attacke durchzuführen, ist zusätzlich eine ungesicherte Internetverbindung notwendig, etwa in einem ungesicherten WLAN-Netzwerk. Damit ein Angriff also erfolgen kann, müssen all diese Voraussetzungen erfüllt sein - was im Alltag möglicherweise wenig wahrscheinlich ist. Dementsprechend sollen LG nach eigener Aussage auch noch keine gemeldeten Fälle vorliegen, wie Androidpit schreibt.

Problem ist LG offenbar schon länger bekannt

An der Grundgefahr ändert das aber nichts. LG weiß offenbar bereits länger von dem Problem: Nach Angaben von Search-Lab haben die Ungarn den südkoreanischen Hersteller bereits im November 2014 auf das Problem hingewiesen. LG hatte dann im Dezember 2014 angegeben, dass kommende Geräte, die mit Android 5.0 ausgeliefert werden, das Problem nicht mehr haben sollen.

Seit März 2015 soll das Sicherheitsleck zudem auch bei älteren Geräten nicht mehr bestehen, wie LG sagt. Tests bei den Modellen G1, G2 und G3 seitens Search-Lab zeigen allerdings, dass das Problem bei manchen älteren Geräten noch vorhanden sein soll. Möglicherweise dauert die Verteilung des Patches noch an.

Wer sich nicht sicher ist, ob sein LG-Smartphone bereits wirklich sichere SSL-Verschlüsselungen bei der Nutzung des Update-Centers verwendet, sollte in der Zwischenzeit darauf achten, keine Updates in ungesicherten Netzwerken durchzuführen. Um das Risiko weiter zu minimieren, sollten die automatischen Updates deaktiviert werden.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. CERATIZIT Deutschland GmbH, Empfingen
  2. Signavio GmbH, Berlin
  3. Unitool GmbH & Co. EDV-KG, Oyten
  4. Rundfunk Berlin-Brandenburg (rbb), Berlin


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. beim Kauf einer GeForce GTX 1070 und GTX 108
  3. 525,01€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  2. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  3. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  4. Raumfahrt

    Europa bleibt im All

  5. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  6. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  7. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  8. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  9. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  10. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Shadow Tactics im Test: Tolle Taktik für Fans von Commandos
Shadow Tactics im Test
Tolle Taktik für Fans von Commandos
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Total War Waldelfen stürmen Warhammer
  3. Künstliche Intelligenz Ultimative Gegner-KI für Civilization gesucht

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Schande

    sfe (Golem.de) | 00:57

  2. Re: Inhaltlich falsch - leider

    teenriot* | 00:41

  3. Von Windvd gibt es auch eine neue Version mit 4K...

    Markus_T_witter | 00:34

  4. Re: Port umlenken

    Apfelbrot | 00:31

  5. Re: hä? gericht wieder einmal weltfremd?

    lear | 00:30


  1. 00:03

  2. 15:33

  3. 14:43

  4. 13:37

  5. 11:12

  6. 09:02

  7. 18:27

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel