Últimas notícias

Fique informado
Falha de segurança no mecanismo de atualização da LG expõe todos seus smartphones Android

Falha de segurança no mecanismo de atualização da LG expõe todos seus smartphones Android

2 de julho de 2015
Uma falha de segurança descrita pela SEARCH-LAB descoberta no final de 2014 expõe smartphones da LG à possíveis ataques

Em resposta, a fabricante afirmou que estavam considerando corrigir a falha mas apenas em modelos recentes, como aqueles que já vem com o Android Lollipop de fábrica. Porém, de acordo com a firma de segurança, todos os aparelhos Android da LG continuam vulneráveis.

A falha está presente no sistema de atualizações da LG. Assim como outras fabricantes, a LG insere seus próprios softwares para serem entregues junto aos seus dispositivos. Eles não ficam no ecossistema da loja de aplicativos da Google, a Play Store, então as atualizações também são entregues através de um canal próprio. No caso específico da LG, seus softwares próprios se atualizam pelo aplicativo “Update Center”.

O “Update Center” se comunica com o servidor www.lgcpm.com para verificar se existem atualizações disponíveis e a eventual atualização em si. A comunicação é feita através do protocolo HTTPS, que é criptografado, ao contrário do HTTP. Porém, o certificado SSL do servidor não é verificado pelo “Update Center”.

Certificados SSL são pequenos arquivos que unem uma chave de segurança com um servidor, permitindo comunicações seguras. Pode-se então tirar proveito da ausência de verificação e intermediar a comunicação entre o aplicativo e a rede. A técnica é mais conhecida como ataques man-in-the-middle.

Imagem ilustra como uma comunicação normal funciona pela internet e abaixo uma sendo explorada através da técnica man-in-the-middle.

Falhas desse tipo são bastante comuns, mas já que a comunicação é criptografada, geralmente não representam grandes perigos. Porém, como novos arquivos APK são baixados e instalados pelo canal de atualização, sem necessitar a autorização do usuário, o intermediário pode abusar a falha e instalar softwares no dispositivo do usuário sem seu conhecimento. Esses softwares, ao contrário de aplicativos normais, podem utilizar quase qualquer permissão mesmo que não concedidas pelo usuário, burlando assim o próprio sistema de segurança do sistema.

Essa falha chega junto à recentes notícias que vêm assustando os usuários. Recentemente, um estudo da Symantec apontou que 94,1% dos dispositivos Android estão vulneráveis a ataques por um problema no debuger do sistema. Já a Samsung recentemente teve uma crise de relações pública e causou dores de cabeça para outra empresa no caminho.

Os aparelhos da fabricante que vêm com o teclado SwiftKey instalado possuem uma falha similar. Ela pode ser explorada através do sistema de atualização do teclado.

Os responsáveis pela descoberta da falha alertam que o problema provavelmente continuará presente devido a decisão da LG.

É recomendado que deixem a função de atualização automática do dispositivo desativada e a usem somente quando conectados a redes Wi-Fi confiáveis.

Fonte: www.tudocelular.com