Falha de segurança no mecanismo de atualização da LG expõe todos seus smartphones Android

Uma falha de segurança descrita pela SEARCH-LAB descoberta no final de 2014 expõe smartphones da LG à possíveis ataques

Em resposta, a fabricante afirmou que estavam considerando corrigir a falha mas apenas em modelos recentes, como aqueles que já vem com o Android Lollipop de fábrica. Porém, de acordo com a firma de segurança, todos os aparelhos Android da LG continuam vulneráveis.

A falha está presente no sistema de atualizações da LG. Assim como outras fabricantes, a LG insere seus próprios softwares para serem entregues junto aos seus dispositivos. Eles não ficam no ecossistema da loja de aplicativos da Google, a Play Store, então as atualizações também são entregues através de um canal próprio. No caso específico da LG, seus softwares próprios se atualizam pelo aplicativo “Update Center”.

O “Update Center” se comunica com o servidor www.lgcpm.com para verificar se existem atualizações disponíveis e a eventual atualização em si. A comunicação é feita através do protocolo HTTPS, que é criptografado, ao contrário do HTTP. Porém, o certificado SSL do servidor não é verificado pelo “Update Center”.

Certificados SSL são pequenos arquivos que unem uma chave de segurança com um servidor, permitindo comunicações seguras. Pode-se então tirar proveito da ausência de verificação e intermediar a comunicação entre o aplicativo e a rede. A técnica é mais conhecida como ataques man-in-the-middle.

Falhas desse tipo são bastante comuns, mas já que a comunicação é criptografada, geralmente não representam grandes perigos. Porém, como novos arquivos APK são baixados e instalados pelo canal de atualização, sem necessitar a autorização do usuário, o intermediário pode abusar a falha e instalar softwares no dispositivo do usuário sem seu conhecimento. Esses softwares, ao contrário de aplicativos normais, podem utilizar quase qualquer permissão mesmo que não concedidas pelo usuário, burlando assim o próprio sistema de segurança do sistema.

Essa falha chega junto à recentes notícias que vêm assustando os usuários. Recentemente, um estudo da Symantec apontou que 94,1% dos dispositivos Android estão vulneráveis a ataques por um problema no debuger do sistema. Já a Samsung recentemente teve uma crise de relações pública e causou dores de cabeça para outra empresa no caminho.

Os aparelhos da fabricante que vêm com o teclado SwiftKey instalado possuem uma falha similar. Ela pode ser explorada através do sistema de atualização do teclado.

Os responsáveis pela descoberta da falha alertam que o problema provavelmente continuará presente devido a decisão da LG.

É recomendado que deixem a função de atualização automática do dispositivo desativada e a usem somente quando conectados a redes Wi-Fi confiáveis.

Fonte: www.tudocelular.com