Niedawno LG udało się osiągnąć ugodę z właścicielami zbrickowanych flagowców, niestety zwrot pieniędzy należy się wyłącznie osobom z USA. Teraz natomiast pojawiła się kolejna afera z Koreańczykami w roli głównej. Tym razem chodzi o poważne zagrożenie dla bezpieczeństwa użytkowników.
O ile problemy natury sprzętowej nie powodowały uszczerbku na samym bezpieczeństwie i po prostu potrafiły doprowadzić do szewskiej pasji, tak teraz kłopoty wydają się być o wiele poważniejsze. Badaniami zajął się zespół badawczy Check Point Software Technologies. Na wstępie warto zaznaczyć, że odkryto to już w zeszłym roku i zwrócono się w tej sprawie do samego producenta. Firma zachowała się nawet porządnie. Niestety, oficjalnie mówi się o tym, że dopiero majowa łatka bezpieczeństwa (oznaczenie: LVE-SMP-170025) naprawia wszystkie wymienione w tym tekście luki, więc właściciele starszych telefonów nie mają co na nią liczyć.
Telefony LG są podatne na dwie metody ataku. Przede wszystkim umożliwiają one uzyskanie dodatkowych uprawnień poprzez proces aktualizacji klawiatury, włączenie keyloggera, a tym samym droga do zdobycia wrażliwych danych, takich jak hasła czy loginy, staje się wyjątkowa prosta.
Eksperci z Check Point skorzystali najpierw z panelu obsługi pisma odręcznego. Działa ono w różnych językach, ale najczęściej preinstalowany jest tylko jeden albo dwa. Aby pobrać lub zaktualizować je, urządzenie łączy się z zakodowanym serwerem, z którego to pobiera konkretny plik. Proces ten już jednak odbywa się za pośrednictwem niezabezpieczonego połączenia HTTP, wskutek czego można zaatakować dany telefon m.in. za sprawą Man-in-the-Middle. Wtedy też sprzęt finalnie jest w stanie pobrać do pamięci złośliwe oprogramowanie.
Drugie zagrożenie łączy się nieco z pierwszym. Ponownie dziurawym elementem okazuje się być klawiatura, która udziela obszernych uprawnień wszystkim plikom z rozszerzeniem .so. Oznacza, że dowolny element z nim w nazwie zostanie oznaczony w pamięci jako plik wykonywalny, pozwalając na wstawianie dowolnych poleceń w aplikacji klawiatury.
Udało się nam również uzyskać komentarz ze strony polskiego oddziału LG Electronics:
Poprawka eliminująca wspomniany błąd w aplikacji została udostępniona poprzez menu Centrum aktualizacji w marcu tego roku, dla smartfonów LG z systemem Android KitKat lub nowszym.
Ponadto, we wszystkich nowych wersjach oprogramowania posiadających poprawki zabezpieczeń datowane na maj 2018 stosowna łatka będzie już zastosowana fabrycznie.
W testach udział wzięły trzy flagowce: LG G4, LG G5 i LG G6. Wszystkie były podatne na opisane wyżej ataki, więc nadzieja pozostanie w tym, że firma stanie na wysokości zadania i szybko udostępni stosowne łatki albo też gruntownie zaktualizuje swoją klawiaturę. Pamiętajmy, że mówimy tu o przejmowanie cennych danych do logowania się na nasze konta, w tym także bankowe, więc potencjalny atak byłby wyjątkowo bolesny.
Koreańczycy zdecydowanie nie mają najlepszej sytuacji. Moim zdaniem kolejne afery mocno nadwyrężają wizerunek firmy i jasno pokazują, że muszą bardziej się skupić na swoich rozwiązaniach. Zobaczymy na razie, jak zostanie przyjęty LG G7 ThinQ oraz czy kłopoty z podatnością na złośliwe oprogramowanie będą szybko usunięte. Szkoda jedynie, że posiadacze ich starszych modeli nie mają co liczyć na stosowną aktualizację.
źródło: informacja prasowa
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
