Abo
  • Services:
Anzeige
Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Anzeige

Das auf LG-Smartphones installierte Update-Center ist aufgrund einer nicht ausreichend gesicherten SSL-Verbindung anfällig für Angriffe: Wie das Budapest University of Technology and Economics' Security Evaluation and Research Laboratory (Search-Lab) feststellte, überprüfe das Programm nicht die SSL-/TLS-Zertifikate des LG-Servers, von dem die Software heruntergeladen wird. Die Internetseite Softpedia hatte über das Problem berichtet.

Man-in-the-Middle-Attacke möglich

LGs Update-Center ist zum einen für die Aktualisierung des Android-Systems zuständig, zum anderen für Updates von über LGs App-Store installierte Anwendungen. Apps werden beim Update ohne weitere Bestätigung des Nutzers als APK-Dateien heruntergeladen und auf dem Smartphone installiert und könnten theoretisch durch manipulierte Anwendungen ersetzt werden. Bei einer solchen Man-in-the-Middle-Attacke setzt sich der Angreifer zwischen das nach Updates suchende Gerät und den LG-Server.

Um die Attacke durchzuführen, ist zusätzlich eine ungesicherte Internetverbindung notwendig, etwa in einem ungesicherten WLAN-Netzwerk. Damit ein Angriff also erfolgen kann, müssen all diese Voraussetzungen erfüllt sein - was im Alltag möglicherweise wenig wahrscheinlich ist. Dementsprechend sollen LG nach eigener Aussage auch noch keine gemeldeten Fälle vorliegen, wie Androidpit schreibt.

Problem ist LG offenbar schon länger bekannt

An der Grundgefahr ändert das aber nichts. LG weiß offenbar bereits länger von dem Problem: Nach Angaben von Search-Lab haben die Ungarn den südkoreanischen Hersteller bereits im November 2014 auf das Problem hingewiesen. LG hatte dann im Dezember 2014 angegeben, dass kommende Geräte, die mit Android 5.0 ausgeliefert werden, das Problem nicht mehr haben sollen.

Seit März 2015 soll das Sicherheitsleck zudem auch bei älteren Geräten nicht mehr bestehen, wie LG sagt. Tests bei den Modellen G1, G2 und G3 seitens Search-Lab zeigen allerdings, dass das Problem bei manchen älteren Geräten noch vorhanden sein soll. Möglicherweise dauert die Verteilung des Patches noch an.

Wer sich nicht sicher ist, ob sein LG-Smartphone bereits wirklich sichere SSL-Verschlüsselungen bei der Nutzung des Update-Centers verwendet, sollte in der Zwischenzeit darauf achten, keine Updates in ungesicherten Netzwerken durchzuführen. Um das Risiko weiter zu minimieren, sollten die automatischen Updates deaktiviert werden.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. moovel Group GmbH, Stuttgart
  2. ORANGE Engineering, Berlin
  3. Daimler AG, Sindelfingen
  4. Daimler AG, Ulm


Anzeige
Spiele-Angebote
  1. (-75%) 2,49€
  2. (-23%) 61,99€
  3. 10,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. Re: Selten so einen schlechten Artikel bei Golem...

    Haze95 | 21:46

  2. Re: Weitere Geräte als die bekannten ~80?!

    v2nc | 21:45

  3. Re: wie schwer war das packet?

    Moe479 | 21:35

  4. Re: Ultimaker

    nachgefragt | 21:20

  5. Re: Jaja, alles klar.

    tonictrinker | 21:14


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel