Abo
  • IT-Karriere:

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Artikel veröffentlicht am ,
Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Das auf LG-Smartphones installierte Update-Center ist aufgrund einer nicht ausreichend gesicherten SSL-Verbindung anfällig für Angriffe: Wie das Budapest University of Technology and Economics' Security Evaluation and Research Laboratory (Search-Lab) feststellte, überprüfe das Programm nicht die SSL-/TLS-Zertifikate des LG-Servers, von dem die Software heruntergeladen wird. Die Internetseite Softpedia hatte über das Problem berichtet.

Man-in-the-Middle-Attacke möglich

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. STI - Gustav Stabernack GmbH, Lauterbach

LGs Update-Center ist zum einen für die Aktualisierung des Android-Systems zuständig, zum anderen für Updates von über LGs App-Store installierte Anwendungen. Apps werden beim Update ohne weitere Bestätigung des Nutzers als APK-Dateien heruntergeladen und auf dem Smartphone installiert und könnten theoretisch durch manipulierte Anwendungen ersetzt werden. Bei einer solchen Man-in-the-Middle-Attacke setzt sich der Angreifer zwischen das nach Updates suchende Gerät und den LG-Server.

Um die Attacke durchzuführen, ist zusätzlich eine ungesicherte Internetverbindung notwendig, etwa in einem ungesicherten WLAN-Netzwerk. Damit ein Angriff also erfolgen kann, müssen all diese Voraussetzungen erfüllt sein - was im Alltag möglicherweise wenig wahrscheinlich ist. Dementsprechend sollen LG nach eigener Aussage auch noch keine gemeldeten Fälle vorliegen, wie Androidpit schreibt.

Problem ist LG offenbar schon länger bekannt

An der Grundgefahr ändert das aber nichts. LG weiß offenbar bereits länger von dem Problem: Nach Angaben von Search-Lab haben die Ungarn den südkoreanischen Hersteller bereits im November 2014 auf das Problem hingewiesen. LG hatte dann im Dezember 2014 angegeben, dass kommende Geräte, die mit Android 5.0 ausgeliefert werden, das Problem nicht mehr haben sollen.

Seit März 2015 soll das Sicherheitsleck zudem auch bei älteren Geräten nicht mehr bestehen, wie LG sagt. Tests bei den Modellen G1, G2 und G3 seitens Search-Lab zeigen allerdings, dass das Problem bei manchen älteren Geräten noch vorhanden sein soll. Möglicherweise dauert die Verteilung des Patches noch an.

Wer sich nicht sicher ist, ob sein LG-Smartphone bereits wirklich sichere SSL-Verschlüsselungen bei der Nutzung des Update-Centers verwendet, sollte in der Zwischenzeit darauf achten, keine Updates in ungesicherten Netzwerken durchzuführen. Um das Risiko weiter zu minimieren, sollten die automatischen Updates deaktiviert werden.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. 349,00€

Folgen Sie uns
       


Fernsteuerung für autonome Autos angesehen

Das Fraunhofer-Institut für Offene Kommunikationssysteme zeigt die Fernsteuerung von Autos über Mobilfunk.

Fernsteuerung für autonome Autos angesehen Video aufrufen
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /