Abo
  • Services:
Anzeige
Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Auch das LG G3 soll von dem Problem betroffen sein.
Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de)

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Anzeige

Das auf LG-Smartphones installierte Update-Center ist aufgrund einer nicht ausreichend gesicherten SSL-Verbindung anfällig für Angriffe: Wie das Budapest University of Technology and Economics' Security Evaluation and Research Laboratory (Search-Lab) feststellte, überprüfe das Programm nicht die SSL-/TLS-Zertifikate des LG-Servers, von dem die Software heruntergeladen wird. Die Internetseite Softpedia hatte über das Problem berichtet.

Man-in-the-Middle-Attacke möglich

LGs Update-Center ist zum einen für die Aktualisierung des Android-Systems zuständig, zum anderen für Updates von über LGs App-Store installierte Anwendungen. Apps werden beim Update ohne weitere Bestätigung des Nutzers als APK-Dateien heruntergeladen und auf dem Smartphone installiert und könnten theoretisch durch manipulierte Anwendungen ersetzt werden. Bei einer solchen Man-in-the-Middle-Attacke setzt sich der Angreifer zwischen das nach Updates suchende Gerät und den LG-Server.

Um die Attacke durchzuführen, ist zusätzlich eine ungesicherte Internetverbindung notwendig, etwa in einem ungesicherten WLAN-Netzwerk. Damit ein Angriff also erfolgen kann, müssen all diese Voraussetzungen erfüllt sein - was im Alltag möglicherweise wenig wahrscheinlich ist. Dementsprechend sollen LG nach eigener Aussage auch noch keine gemeldeten Fälle vorliegen, wie Androidpit schreibt.

Problem ist LG offenbar schon länger bekannt

An der Grundgefahr ändert das aber nichts. LG weiß offenbar bereits länger von dem Problem: Nach Angaben von Search-Lab haben die Ungarn den südkoreanischen Hersteller bereits im November 2014 auf das Problem hingewiesen. LG hatte dann im Dezember 2014 angegeben, dass kommende Geräte, die mit Android 5.0 ausgeliefert werden, das Problem nicht mehr haben sollen.

Seit März 2015 soll das Sicherheitsleck zudem auch bei älteren Geräten nicht mehr bestehen, wie LG sagt. Tests bei den Modellen G1, G2 und G3 seitens Search-Lab zeigen allerdings, dass das Problem bei manchen älteren Geräten noch vorhanden sein soll. Möglicherweise dauert die Verteilung des Patches noch an.

Wer sich nicht sicher ist, ob sein LG-Smartphone bereits wirklich sichere SSL-Verschlüsselungen bei der Nutzung des Update-Centers verwendet, sollte in der Zwischenzeit darauf achten, keine Updates in ungesicherten Netzwerken durchzuführen. Um das Risiko weiter zu minimieren, sollten die automatischen Updates deaktiviert werden.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Kassel
  2. Robert Bosch GmbH, Crailsheim
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm
  4. Detecon International GmbH, Köln, Frankfurt am Main, München


Anzeige
Top-Angebote
  1. 21,49€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand) - Vergleichspreis 28€
  2. 3,99€
  3. 7,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  2. Suchmaschine

    Google macht angepasste Site Search dicht

  3. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  4. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell

  5. Netflix

    Ein Stethoskop für mehr Freiheit und Sicherheit

  6. Windows 10 Mobile

    Continuum kommt ins Polizeiauto

  7. DSM 6.1

    Synology bringt Btrfs auf mehr alte NAS-Systeme

  8. Mobilfunk

    Telefónica verspricht Verbesserungen bei der Netzperformance

  9. Neue Version für Smartphones

    Remix OS wird zum Continuum-Konkurrenten

  10. Ford

    Automatisiertes Fahren ist einschläfernd



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

  1. Re: Endlich ein Hersteller der das...

    Hotohori | 13:58

  2. Re: Assault-Trucks nun noch leiser

    TrollNo1 | 13:58

  3. Re: Tipp: Öffentlicher Dienst

    tunnelblick | 13:54

  4. Re: "Erfolg ist die Summe richtiger Entscheidungen"

    My1 | 13:54

  5. Re: Frage: Für was nutzt ihre eure "Bastelrechner"?

    gadthrawn | 13:54


  1. 14:16

  2. 13:04

  3. 13:00

  4. 12:05

  5. 12:03

  6. 11:55

  7. 11:51

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel