Abo
  • Services:

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Artikel veröffentlicht am ,
Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Das auf LG-Smartphones installierte Update-Center ist aufgrund einer nicht ausreichend gesicherten SSL-Verbindung anfällig für Angriffe: Wie das Budapest University of Technology and Economics' Security Evaluation and Research Laboratory (Search-Lab) feststellte, überprüfe das Programm nicht die SSL-/TLS-Zertifikate des LG-Servers, von dem die Software heruntergeladen wird. Die Internetseite Softpedia hatte über das Problem berichtet.

Man-in-the-Middle-Attacke möglich

Stellenmarkt
  1. Hays AG, Raum Nürnberg
  2. Gartenbau-Versicherung VVaG, Wiesbaden

LGs Update-Center ist zum einen für die Aktualisierung des Android-Systems zuständig, zum anderen für Updates von über LGs App-Store installierte Anwendungen. Apps werden beim Update ohne weitere Bestätigung des Nutzers als APK-Dateien heruntergeladen und auf dem Smartphone installiert und könnten theoretisch durch manipulierte Anwendungen ersetzt werden. Bei einer solchen Man-in-the-Middle-Attacke setzt sich der Angreifer zwischen das nach Updates suchende Gerät und den LG-Server.

Um die Attacke durchzuführen, ist zusätzlich eine ungesicherte Internetverbindung notwendig, etwa in einem ungesicherten WLAN-Netzwerk. Damit ein Angriff also erfolgen kann, müssen all diese Voraussetzungen erfüllt sein - was im Alltag möglicherweise wenig wahrscheinlich ist. Dementsprechend sollen LG nach eigener Aussage auch noch keine gemeldeten Fälle vorliegen, wie Androidpit schreibt.

Problem ist LG offenbar schon länger bekannt

An der Grundgefahr ändert das aber nichts. LG weiß offenbar bereits länger von dem Problem: Nach Angaben von Search-Lab haben die Ungarn den südkoreanischen Hersteller bereits im November 2014 auf das Problem hingewiesen. LG hatte dann im Dezember 2014 angegeben, dass kommende Geräte, die mit Android 5.0 ausgeliefert werden, das Problem nicht mehr haben sollen.

Seit März 2015 soll das Sicherheitsleck zudem auch bei älteren Geräten nicht mehr bestehen, wie LG sagt. Tests bei den Modellen G1, G2 und G3 seitens Search-Lab zeigen allerdings, dass das Problem bei manchen älteren Geräten noch vorhanden sein soll. Möglicherweise dauert die Verteilung des Patches noch an.

Wer sich nicht sicher ist, ob sein LG-Smartphone bereits wirklich sichere SSL-Verschlüsselungen bei der Nutzung des Update-Centers verwendet, sollte in der Zwischenzeit darauf achten, keine Updates in ungesicherten Netzwerken durchzuführen. Um das Risiko weiter zu minimieren, sollten die automatischen Updates deaktiviert werden.



Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)

Folgen Sie uns
       


Lenovo Ideapad 720S - Test (AMD vs. Intel)

Wir vergleichen Lenovos Ideapad 720S mit AMDs Ryzen 7 und Intels Core i5.

Lenovo Ideapad 720S - Test (AMD vs. Intel) Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

    •  /