LG will klaffendes Sicherheitsloch in Smartphones nicht schließen

Forscher der Budapest University of Technology and Economics haben festgestellt, dass LGs Android-Handys ein gefährliches Sicherheitsproblem aufweisen, über das Angreifer beliebigen Schadcode und Spionage-Apps auf das Handy laden können. Sie haben den Hersteller informiert, doch LG will dieses Problem offenbar nur in neuen Geräten beseitigen.

Update-Mechanismus

Die Lücke findet sich demnach im Update-Mechanismus der LG-Handys. Standardmäßig kontrolliert die hauseigene Update Center App regelmäßig, ob aktualisierte Software-Versionen vorhanden sind und installiert diese automatisch. Um Missbrauch zu verhindern, erfolgt diese Kommunikation via TLS verschlüsselt.

Doch die App kontrolliert nicht, ob sie dabei auch wirklich mit dem richtigen Server spricht, berichtet die Spin-off-Firma SearchLab. So könne ein so genannter Man-in-the-Middle diese Kommunikation etwa in einem WLAN abfangen und manipulieren. Ersetzt er dabei eine Antwort des Servers durch einen Verweis auf eine Spionage-App, installiert das attackierte Handy diese ohne weitere Nachfrage.

Dauerhafte Gefährdung

Betroffen sind laut der Entdecker von Search-Lab alle LG-Handys mit Android. Den Hersteller haben sie demnach bereits im November 2014 über das Problem unterrichtet. Der wolle das aber nur für die neuen Modelle mit Android L beheben, konstatieren sie in ihrem Bericht Security vulnerability in LG’s Update Center application.

Da die Update-Checks regelmäßig im Hintergrund passieren, sind LG-Handys dauerhaft gefährdet. Um sich zu schützen, bleibe Nutzern von LG-Handys somit nur die Option, das Auto-Update abzuschalten und das Update nur in vertrauenswürdigen Netzen von Hand zu starten. Das lässt natürlich immer noch Spielraum für Attacken durch Angreifer mit Zugang zur Netzwerk-Infrastruktur – also etwa Angestellte der Provider , Geheimdienste oder Strafverfolger. (ju)