• IT-Karriere:
  • Services:

Security: LG muss Android-Firmware reparieren

Zwei Sicherheitslücken in LGs-Android Firmware ermöglichen eine Reihe von Angriffen, teilweise auch aus der Ferne. Nutzer sollten schnell reagieren, die Updates stehen bereit.

Artikel veröffentlicht am ,
Die Firmware von LGs Android-Smartphones ist verwundbar.
Die Firmware von LGs Android-Smartphones ist verwundbar. (Bild: Martin Wolf/Golem.de)

Der Smartphone-Hersteller LG hat zwei Sicherheitslücken in der Firmware seiner Android-Geräte behoben. Gefunden wurden sie von der Sicherheitsfirma Checkpoint. Eine der Schwachstellen ermöglicht es Angreifern, die IMEI und Mac-Adresse zu manipulieren, eine weitere Lücke betrifft das WAP-Push-Protokoll. Damit sollen präparierte Textnachrichten an das Gerät geschickt werden können oder bestehende Nachrichten verändert werden. Die gravierendere der beiden Schwachstellen dürfte CVE-2016-2035 sein, da diese auch aus der Ferne ausgenutzt werden kann. Ausgenutzt wird, dass LG in der eigenen Implementation des WAP-Push-Services zwei Features eingebaut hat, die eigentlich nicht für Endnutzer gedacht sind. Mit den Befehlen "Update" und "Delete" können Nachrichten auf dem Gerät manipuliert oder aufgespielt werden. Über eine SQL-Injektion können Angreifer Nachrichten gezielt auf das Telefon senden und so unter bestimmten Umständen auch Schadcode aufspielen. Checkpoint schreibt, dass Angreifer außerdem über Phishing-Angriffe Nutzerdaten abgreifen können.

Lokale Schwachstelle ermöglicht IMEI-Spoofing

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. MLP Finanzberatung SE, Wiesloch bei Heidelberg

Die andere Sicherheitslücke mit der MITRE-Nummer CVE-2016-3117 betrifft LGs LGATCMD-Service. Dieser Dienst kann wegen fehlender Bind-Einschränkungen mit allen Apps kommunizieren. Gelingt es Angreifern, Nutzern eine gefälschte App unterzuschieben, können diese die IMEI und die MAC-Adresse auslesen oder verändern, das Gerät neustarten, die USB-Verbindung deaktivieren, den internen Speicher löschen oder das Gerät sperren.

Ransomware könnte die Schwachstelle ausnutzen, schreibt Checkpoint, um den Nutzer per Deaktivierung der USB-Verbindung davon abzuhalten, das Gerät per USB mit einem Rechner zu verbinden und versuche zu unternehmen, die eigenen Daten zu retten.

LG hat ein OTA-Update bereitgestellt. Wer das Update nicht automatisch angeboten bekommt, kann bei LG nachschauen, wie es funktioniert. Checkpoint nennt keine konkret betroffenen Geräte, daher scheinen alle aktuellen LG Smartphones verwundbar zu sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Spiele-Angebote
  1. (-0%) 14,99€
  2. 4,99€
  3. 4,99€

ibsi 02. Jun 2016

Die LG Suite funktioniert bei mir nicht mehr, seit Win 8.1. Der meckert immer wegen...

Pjörn 01. Jun 2016

Nein LG vertreibt offensichtlich eine eigene Firmware.

synthor 01. Jun 2016

Uff, von wegen LG muss... Das klingt nach einem ziemlich derben herstellerübergreifenden...

ibsi 01. Jun 2016

Danke (k/t)

ibsi 01. Jun 2016

ICH: Hallo, ich habe eine News gelesen das es 2 Sicherheitslücken bei euren Smartphones...


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  2. Datenschutz Zahl der Behördenzugriffe auf Konten steigt
  3. Verschlüsselung Regierungen wollen Backdoors in Facebook für Untersuchungen

Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /