LG-smartphones zijn vatbaar voor een man-in-the-middle-aanval via Update Center, de app waarmee LG zijn eigen apps op Android-telefoons bijwerkt. De app controleert het ssl-certificaat niet als het een verbinding maakt met de server.
Omdat Update Center het certificaat niet controleert, is het in theorie mogelijk Update Center naar een andere server te leiden en op die manier de telefoon malware te laten downloaden als legitieme app. Daarvoor moet de aanvaller uiteraard wel de verbinding kunnen kapen, bijvoorbeeld omdat de gebruiker die verbinding opzet via een publieke wifi-hotspot, zegt het Hongaarse Search Lab, dat het lek ontdekte.
Update Center staat op alle LG-telefoons met LG's eigen skin, waaronder de G3 en G2. Nexus-telefoons van LG draaien software die Google ontwikkelt en die hebben Update Center niet. Er zijn nog geen gevallen bekend waarbij een aanvaller misbruik heeft gemaakt van dit lek.
LG zegt tegen Search Lab dat het een fix klaar heeft staan met toestellen die gaan uitkomen met Android L later dit jaar. Dat zou betekenen dat huidige toestellen kwetsbaar blijven voor dit lek. Een aanval is te voorkomen door automatische updates in Update Center uit te schakelen.