Abo
  • Services:
Anzeige
Die Firmware von LGs Android-Smartphones ist verwundbar.
Die Firmware von LGs Android-Smartphones ist verwundbar. (Bild: Martin Wolf/Golem.de)

Security: LG muss Android-Firmware reparieren

Die Firmware von LGs Android-Smartphones ist verwundbar.
Die Firmware von LGs Android-Smartphones ist verwundbar. (Bild: Martin Wolf/Golem.de)

Zwei Sicherheitslücken in LGs-Android Firmware ermöglichen eine Reihe von Angriffen, teilweise auch aus der Ferne. Nutzer sollten schnell reagieren, die Updates stehen bereit.

Der Smartphone-Hersteller LG hat zwei Sicherheitslücken in der Firmware seiner Android-Geräte behoben. Gefunden wurden sie von der Sicherheitsfirma Checkpoint. Eine der Schwachstellen ermöglicht es Angreifern, die IMEI und Mac-Adresse zu manipulieren, eine weitere Lücke betrifft das WAP-Push-Protokoll. Damit sollen präparierte Textnachrichten an das Gerät geschickt werden können oder bestehende Nachrichten verändert werden. Die gravierendere der beiden Schwachstellen dürfte CVE-2016-2035 sein, da diese auch aus der Ferne ausgenutzt werden kann. Ausgenutzt wird, dass LG in der eigenen Implementation des WAP-Push-Services zwei Features eingebaut hat, die eigentlich nicht für Endnutzer gedacht sind. Mit den Befehlen "Update" und "Delete" können Nachrichten auf dem Gerät manipuliert oder aufgespielt werden. Über eine SQL-Injektion können Angreifer Nachrichten gezielt auf das Telefon senden und so unter bestimmten Umständen auch Schadcode aufspielen. Checkpoint schreibt, dass Angreifer außerdem über Phishing-Angriffe Nutzerdaten abgreifen können.

Lokale Schwachstelle ermöglicht IMEI-Spoofing

Die andere Sicherheitslücke mit der MITRE-Nummer CVE-2016-3117 betrifft LGs LGATCMD-Service. Dieser Dienst kann wegen fehlender Bind-Einschränkungen mit allen Apps kommunizieren. Gelingt es Angreifern, Nutzern eine gefälschte App unterzuschieben, können diese die IMEI und die MAC-Adresse auslesen oder verändern, das Gerät neustarten, die USB-Verbindung deaktivieren, den internen Speicher löschen oder das Gerät sperren.

Anzeige

Ransomware könnte die Schwachstelle ausnutzen, schreibt Checkpoint, um den Nutzer per Deaktivierung der USB-Verbindung davon abzuhalten, das Gerät per USB mit einem Rechner zu verbinden und versuche zu unternehmen, die eigenen Daten zu retten.

LG hat ein OTA-Update bereitgestellt. Wer das Update nicht automatisch angeboten bekommt, kann bei LG nachschauen, wie es funktioniert. Checkpoint nennt keine konkret betroffenen Geräte, daher scheinen alle aktuellen LG Smartphones verwundbar zu sein.


eye home zur Startseite
ibsi 02. Jun 2016

Die LG Suite funktioniert bei mir nicht mehr, seit Win 8.1. Der meckert immer wegen...

Pjörn 01. Jun 2016

Nein LG vertreibt offensichtlich eine eigene Firmware.

synthor 01. Jun 2016

Uff, von wegen LG muss... Das klingt nach einem ziemlich derben herstellerübergreifenden...

ibsi 01. Jun 2016

Danke (k/t)

ibsi 01. Jun 2016

ICH: Hallo, ich habe eine News gelesen das es 2 Sicherheitslücken bei euren Smartphones...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. TQ-SYSTEMS GMBH, Seefeld nahe München
  3. Brabbler Secure Message and Data Exchange Aktiengesellschaft, München
  4. über persona service Koblenz, Koblenz


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 53,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver

  2. Vikings im Kurztest

    Tiefgekühlt kämpfen

  3. Deep Sea Mining

    Nautilus Minerals will Gold auf dem Meeresgrund abbauen

  4. Festplatten zerstören

    Wie man in 60 Sekunden ein Datencenter auslöscht

  5. Supercomputer

    HPE und BASF kooperieren für die industrielle Chemie

  6. Lufthansa

    Hyperloop könnte innerdeutsche Flüge ersetzen

  7. Blitzkrieg 3

    Neuronale-Netzwerke-KI für Echtzeit-Strategiespiel verfügbar

  8. Mobilfunk

    Fonic Smart S erhält mehr Datenvolumen

  9. Gesetzesentwurf

    Ein Etikettenschwindel bremst das automatisierte Fahren aus

  10. Triby Family

    Portabler Lautsprecher mit E-Paper-Display wird Alexa-fähig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tuxedo Book XC1507 v2 im Test: Linux ist nur einmal besser
Tuxedo Book XC1507 v2 im Test
Linux ist nur einmal besser
  1. Gaming-Notebook Razer aktualisiert Blade 14 mit Kaby Lake und 4K-UHD
  2. MSI GS63VR und Gigabyte Aero 14 im Test Entscheidend ist der Akku

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. Hollywood Filmstudios wollen Filme kurz nach Kinostart streamen
  2. USA Google will Kabelfernsehen über Youtube streamen
  3. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück

  1. Re: Es werden keine Rundfunkfrequenzen belegt...

    Sharkuu | 14:43

  2. Re: Chemikers Rezept für defekte Platten

    TC | 14:43

  3. Re: Hoffentlich stimmt der Preis

    Berner Rösti | 14:43

  4. Wieso nicht einfach ein lauter Knall

    Momo_102 | 14:43

  5. Fehler im Hirn der Käufer erlaubt rückschlüsse.

    Koto | 14:43


  1. 14:15

  2. 14:00

  3. 13:30

  4. 12:00

  5. 11:03

  6. 10:43

  7. 10:28

  8. 09:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel