LG-smartphones vatbaar voor man-in-the-middle-aanval

LG-smartphones zijn vatbaar voor een man-in-the-middle-aanval via Update Center, de app waarmee LG zijn eigen apps op Android-telefoons bijwerkt. De app controleert het ssl-certificaat niet als het een verbinding maakt met de server.

Omdat Update Center het certificaat niet controleert, is het in theorie mogelijk Update Center naar een andere server te leiden en op die manier de telefoon malware te laten downloaden als legitieme app. Daarvoor moet de aanvaller uiteraard wel de verbinding kunnen kapen, bijvoorbeeld omdat de gebruiker die verbinding opzet via een publieke wifi-hotspot, zegt het Hongaarse Search Lab, dat het lek ontdekte.

Update Center staat op alle LG-telefoons met LG's eigen skin, waaronder de G3 en G2. Nexus-telefoons van LG draaien software die Google ontwikkelt en die hebben Update Center niet. Er zijn nog geen gevallen bekend waarbij een aanvaller misbruik heeft gemaakt van dit lek.

LG zegt tegen Search Lab dat het een fix klaar heeft staan met toestellen die gaan uitkomen met Android L later dit jaar. Dat zou betekenen dat huidige toestellen kwetsbaar blijven voor dit lek. Een aanval is te voorkomen door automatische updates in Update Center uit te schakelen.

Reacties (34)

headphoneguy 30 juni 2015 13:28

"LG zegt tegen Search Lab dat het een fix klaar heeft staan met toestellen die gaan uitkomen met Android L later dit jaar."

Oftewel als je een LG hebt die geen lollipop update krijgt, blijft deze vulnerability bestaan. Nu is de G serie het populairst. Maar zelf heb ik de g2 waarvoor ik zo ver als ik weet nog geen lollipop update in de maak is..

manolito @headphoneguy • 30 juni 2015 13:33

De LG G2 Lollipop update werkt alleen door je LG telefoon aan te sluiten op een computer met de LG software. Kortom via over-the-air krijg je ook geen notificatie dat Lollipop beschikbaar is.

[Reactie gewijzigd door manolito op 29 juli 2024 23:44]

headphoneguy @manolito • 30 juni 2015 14:02

Ik was alleen op de hoogte van de gelekte firmware in kdz format. Die bevatte battery draining bugs en performance problemen. Nergens gelezen dat ik via de pc met LG software een update kon uitvoeren.

Off-topic : heb je een g2 en doen deze bugs zich nog voor?

inorde

@headphoneguy • 30 juni 2015 14:20

Ik heb Lollipop op mijn G2 gezet, maar deze is gebaseerd op een legitieme update.

Draait als een zonnetje. Absoluut geen probleem met Battery drain, ik heb meegemaakt dat ik 's avonds nog 85% overhad. Ik heb ook een keer 2,5 uur met navigatie gereden (Nokia Here) en de batterij had nog 50% over.

Ik heb altijd alles aanstaan, locatie, bluetooth, syncen, wifi en data.

mad-dog @headphoneguy • 30 juni 2015 13:32

Welke variant van de G2 heb je dan? Voor de D802(meest gangbaar in NL) is Lollipop al even uit

mucuracat @headphoneguy • 30 juni 2015 13:32

Huh?

LG G2 heeft al lollipop hoor

denonman1 @headphoneguy • 30 juni 2015 18:36

Lollipop voor de G2 is al zeker een maand te downloaden op de telefoon via de lg software suite. Ota komt ie niet (nog niet?)

Ik had m al even draaien totdat ik mijn G2 heb verkocht.

In het begin vreemde accuduur, eerst heel kort, toen heel lang. Een fabrieksreset loste alle problemen op.

[Reactie gewijzigd door denonman1 op 29 juli 2024 23:44]

Auredium 30 juni 2015 13:35

Natuurlijk is het slecht dat LG niet standaard aan SSL controle doet. Er zijn al zoveel van dit soort man-in-the-middle aanvallen bekend in computerland. Vooral bij mobiele apparaten zoals telefoons die maar al te vaak aan de open wifi hangen bij eetgelegenheden e.d. is dat vragen voor problemen.

Maar Android zelf is wat dat betreft een probleem met updates. Niet zozeer vanuit Google maar meer fabrikantwise. Samsung verwijst ook gewoon qua veiligheid vaak naar de nieuwste Samsung serie. Een exploit gevonden in Android versie Y? Dan wordt er vaak geen update gegeven want versie Y staat alleen op telefoonreeks A en deze is van de voorgaande generatie, de nieuwste generatie krijgt deze echter wel...dus dan kun je die maar kopen.

Nu wordt hier wel aan gewerkt door Google. De nieuwste versie van Android die in ontwikkeling is (de naam ontschiet mij even) zou hierin verbeterng moeten geven. Wat erg tolerant is van Google, omdat het vaak een fabrikant gerelateerd issue is, net zoals bij LG hier het geval is.

Verwijderd @Auredium • 30 juni 2015 13:46

Hoeveel veren wil je Google nou geven? Het probleem start bij Google en de update structuur die zij hebben gekozen. Google doet evengoed als fabrikanten mee aan de wegwerp cultuur door geen updates te verstrekken voor oudere apparaten. Zoals de lekken in de stock browser:
nieuws: Google dicht lekken in stock-browser Android 4.3 en lager niet meer Dit probleem moet maar worden verholpen door hardware fabrikanten. Zie je het al gebeuren dat HP computers een beveiligingslek in Windows moet repareren omdat Microsoft zegt wij hebben er geen zin in? Google laat lekken in hun eigen OS, hun core business, over aan een hardware fabrikant die duidelijk een andere core business heeft.

Mrjraider @Verwijderd • 30 juni 2015 13:54

Dit kan je in mijn ogen niet aan Google wijten maar echt aan de fabrikanten zelf. Zij kiezen ervoor om bepaalde toestellen met een OS versie uit te brengen, dan vind ik het hun verantwoording om deze zo goed mogelijk te onderhouden. Als blijkt dat dan een grote bug of beveiligingslek is dan is het aan de fabrikant om met een fix te komen, zij leveren immers een toestel met een OS. Sommige fixes komen inderdaad bij Google weg maar soms zijn fabrikanten daar gewoon sneller in.

Neem nu de memory leak in lollipop als voorbeeld. Sony heeft dit standaard in de 5.0.x gefixt terwijl Google dit later zou fixen..

Daarbij speelt fragmentatie een grote rol, er zijn veel te veel toestellen in sommige portfolio's dat ik het niet meer weet

Vexxon @Mrjraider • 30 juni 2015 14:23

Dit kan je in mijn ogen niet aan Google wijten maar echt aan de fabrikanten zelf. Zij kiezen ervoor om bepaalde toestellen met een OS versie uit te brengen, dan vind ik het hun verantwoording om deze zo goed mogelijk te onderhouden. Als blijkt dat dan een grote bug of beveiligingslek is dan is het aan de fabrikant om met een fix te komen, zij leveren immers een toestel met een OS. Sommige fixes komen inderdaad bij Google weg maar soms zijn fabrikanten daar gewoon sneller in.

Maar dat is toch precies het voorbeeld wat ChicaneBT schetst?
Als HP een laptop uitbrengt met Windows 8.1 en na een tijd blijkt dat er een beveilingslek in Windows zit moet HP dat dus maar fixen?
Zij hebben er toch immers voor gekozen om een laptop uit te brengen met W8.1.
Beetje vage redenatie.

Neem nu de memory leak in lollipop als voorbeeld. Sony heeft dit standaard in de 5.0.x gefixt terwijl Google dit later zou fixen..

Omdat Google er blijkbaar te lang overheeft gedaan om dit te fixen en gebruikers ondertussen met de problemen zitten. Sony grijpt dan blijkbaar in en terecht.
Maar wel beveilingsproblemen in andere OS-en publiceren als er niet snel genoeg gereageerd wordt volgens Google. Maar zelf problemen oplossen? Nee dat is ineens aan de fabrikanten.

Daarbij speelt fragmentatie een grote rol, er zijn veel te veel toestellen in sommige portfolio's dat ik het niet meer weet

Daar is vooral Google debet aan, dus zouden ze er meer aan gelegen moeten zijn om eens keer wat te doen.

Mrjraider @Vexxon • 30 juni 2015 16:09

Ik kreeg vanuit het bericht van ChicaneBT eerder de indruk dat vooral Google een rol speelt terwijl dat niet het geval is

(in mijn beleving!) Dit omdat zij zelf geen toestellen uitbrengen maar fabrikanten dit doen, als zij daarbij de software dusdanig aanpassen: neem een Touchwiz neem een Timescape UI (Sony) dan ligt de aangepaste software en de bijbehorende updates daar. indien er in de core van het OS, de Play-services bijvoorbeeld, een probleem ligt dan is dat aan Google.

raro007 @Verwijderd • 30 juni 2015 14:21

waarom zou een hardware fabrikant dat niet kunnen?
ze moeten toch mensen hebben die de android versie maakt voor hun toestel of skins apps en al de rest dan kunnen ze vast ook wel zulke gaten dichten.
en jou vergelijking met microsoft is best wel krom want windows is gesloten dus hoe wil je dat ze zoiets gaan fixen dan?

mae-t.net @raro007 • 1 juli 2015 00:42

Een hardwarefabrikant (één woord alsjeblieft, die spa tie heeft daar niets te zoeken en leest rot!), het woord suggereert het al een beetje, is niet per definitie een softwarefabrikant.

Jij betoogt dat een ander Windows niet kan fixen, wat opzich klopt, maar dat zegt principieel niet dat een ander Android MOET fixen gewoon omdat het kan, ofzo. Vergelijk met bijvoorbeeld Linux: in principe kan iedereen dat fixen, maar het is heel normaal dat de samenstellers van de distributie dat doen. Die hebben daar immers de beste mogelijkheden voor.

[Reactie gewijzigd door mae-t.net op 29 juli 2024 23:44]

pepijntb @Verwijderd • 30 juni 2015 14:25

Als HP Windows ook zo zou aanpassen dat Windows Update niet meer gebruikt wordt maar hun eigen systeem dan kun je dat Microsoft toch ook moeilijk kwalijk nemen. Neem je het Microsoft ook kwalijk als HP geen drivers levert voor hun hardware?

Tjolk @Verwijderd • 1 juli 2015 11:00

De oplossing is in dergelijke gevallen updaten naar een nieuwere Android versie. Dus naar 4.4, 5.0 of 5.1. Google update dus gewoon haar software en heeft een oude versie dus nog anderhalf jaar lang bijgewerkt terwijl er dus al nieuwere versies beschikbaar waren.

NB: sinds 4.0 uit 2011 probeert Google al de AOSP browser uit te faseren, maar omdat fabrikanten aangepaste versies van AOSP browsers meeleveren in hun software, werd het tot een half jaar terug nog steeds ondersteund. Dik 3 jaar nadat het al uit "Google Android" was gehaald dus.

Kijk, in principe kun je er als fabrikant voor kiezen om gewoon standaard Google Android mee te leveren zonder allerlei wijzigingen. Dan is updaten naar de nieuwste versie van Android geen probleem. Door die wijzigingen die fabrikanten toepassen lopen ze achter de feiten aan. Is dat het probleem van Google? In principe niet; zij leveren gewoon een update aan. In de praktijk worden ze er wel op aangekeken en daarom leveren ze tot op zekere hoogte nog steeds updates van oudere versies. Maar natuurlijk niet tot in den treure. Dan ligt de bal toch echt bij de fabrikanten zou ik zeggen.

Verwijderd 30 juni 2015 13:58

Blij dat ik een LG Nexus heb. Wederom een voorbeeld waarom je bepaalde basisonderdelen (zoals het hele OS) niet aan hardwarefabrikanten moet toevertrouwen.

Verwijderd @Verwijderd • 1 juli 2015 03:04

Ik hoor wat dat betreft, weinig IOS, Windows Phone of BlackBerry gebruikers klagen. Zolang de hardware fabrikant ook de software leverancier is, zit het qua veiligheid meestal wel redelijk in orde, zelfs bij de nexuslijn van google.

Tegelijkertijd, software ondersteuning verwachten van een fabrikant die in eerste plaats al kiest, voor het leveren van een 'gratis'* os, op basis van code gemaakt door een online advertentieverkoper is misschien ook wel om erg veel vragen. Bij problemen is het vaak nu nog wel eens zo dat de fabrikant zegt dat het probleem aan de software ligt, en dat google de os brouwer, alleen oplossingen levert het selecte gezelschap dat de laatste versies heeft. ?

Hardwarematig lijken smartphones steeds meer op computers. Bij pc's is 13 jaar software matige support zoals bij Windows niet gek. Dus ik hoop dat ook in de telefoonindustrie de +3jr van ios/wp8-wm10/bb10 standaard gaat worden. Tot die tijd, zou ik eigenlijk iedereen afraden, te kiezen voor een Smartphone van een fabrikant die gebruik maakt van software van een derde partij, en daar niet minstens twee jaar aan updates voor kan garanderen.

*beschikbaar gesteld aan de open headset alliance in ruil voor het meeleveren van vele google services..

Verwijderd @Verwijderd • 1 juli 2015 09:39

Tegelijkertijd, software ondersteuning verwachten van een fabrikant die in eerste plaats al kiest, voor het leveren van een 'gratis'* os,

Als je een duur stuk hardware koopt (niks gratis dus, dan ben je gewoon een klant die de hoofdprijs betaalt) mag je er toch wel op rekenen dat je er fatsoenlijke support bij krijgt. En dat ze er op zijn minst degelijke veiligheisdupdates bij leveren. In plaats van een OS dat in de basis niet slecht is, vol te proppen met bloat rommel (die bovendien onveilig blijkt) en dan ook nog eens geen updates geven.

NepGangster 30 juni 2015 13:18

Best schandalig, dat ze gewoon toegeven een fix te hebben maar deze nog niet uitrollen. Gooi die quickfix er gewoon zsm naar toe, daarna de doofpot in.

Wat een flater.

Armin @NepGangster • 30 juni 2015 18:37

Ik weet het een beetje flauw maar toch ...

Een aanval is te voorkomen door automatische updates in Update Center uit te schakelen.

Maar aangezien er kenenlijk toch geen updates zijn, kun je het zonder neveneffecten uitzetten $_/-\o_$

Maar wel weer het zoveelste Android probleem. Android doet standaard in haar SDK geen certificaat controle, dus het is niet helemaal aan LG aan te rekenen. Elke Android app doet standaard ook geen controle tenzij de ontwikkelaar en weet wat dat is, en het belangrijk vindt, en het implementeert en dit ook nog eens goed doet.

Maar een aap die geen controle doet is qua schade nog beperkt. Een update component die op root-niveau draait is natuurlijk wel gevaarlijker.

Maar het werkelijke probleem is echter niet de SSL certificaat controle!

Wat een flater.

Het werkelijke probleem is dat er geen integriteit-check gedaan wordt. In principe kun je moeiteloos updates over HTTP laten lopen. Mits je maar wel de binaries ondertekent hebt met een certificaat en CRC check.

Windows Update werkt bijvoorbeeld zo via een hybride systeem. Belangrijke meta data gaat over HTTPS (met certificaat pinning) inclusief informatie over de update, en de data zelf gaat over HTTP zodat administrators het kunnen cachen. Deze is echter ondertekend en voorzien van een CRC. Een kwaadwillende kan dus niets wijzigen zonder dit geheime certificaat (en zou dan toch lukken, zou de meta data die wel over HTTPS ging de zaak alsnog stoppen).

Les 101 bij security is dat updates ondertekend moeten zijn. TLS encryptie is een zeer welkome extra, maar ondertekening met een niet-publieke key is het eerste.

Ruw ER 30 juni 2015 13:21

Ik vind dit erg slordig, je zou denken dat een bedrijf haar updates beveiligd ter beschikking stelt, dus met ssl certificaat controle.
Aan de andere kant, het is al jaren zo, en pas nu wordt het ontdekt. Het is ook een omslachtige manier van malware instaleren, iemand op een door jou geprepareerde hotspot zijn skins up gaan daten.

stuiterveer @Ruw ER • 30 juni 2015 13:56

Dat het nu pas bekend wordt gemaakt, wil niet zeggen dat het nu pas ontdekt is. Een blackhat hacker gaat niet zomaar de kwetsbaarheden die hij/zij gebruikt aan anderen bekend maken.

Daarnaast is het zo dat het geen omslachtige manier is, een WiFi hotspot heb je zo aangemaakt. Veel mensen kijken niet na of deze veilig is, zolang ze verbinding met WiFi kunnen maken zijn zij blij.

De veiligheidsrisico's waren dus meer dan reëel, waarbij het behoorlijk schandalig is dat deze niet alsnog worden aangepakt voor de huidige toestellen.

Verwijderd 30 juni 2015 13:31

Dit is weer eens een reden waarom hardware fabrikanten geen toegang zouden moeten krijgen tot belangrijke OS onderdelen. Ze mogen wel hun eigen features toevoegen, maar laat dat dan gewoon via Google lopen.

Vexxon @Verwijderd • 30 juni 2015 14:32

Dat wil Google niet want dat is ze teveel werk.

FooLsKi 30 juni 2015 14:04

Een aanval is te voorkomen door automatische updates in Update Center uit te schakelen.

Of, minder rigoreus, niet te verbinden met onbeveiligde Wi-Fi.

Verwijderd @FooLsKi • 30 juni 2015 14:11

Aan leken adviseer ik dit altijd. Als ze een bundel hebben van 500MB internet dan is dat eigenlijk voor gebruik door hen meer dan genoeg. Ze hoeven dan ook nooit te verbinden met onbekende wifi netwerken.

Touchdomex 30 juni 2015 13:35

Heeft iemand enig idee of dit al reeds is uitgerold binnen lollipop? Dus alleen toestellen met Kitkat en lager hebben hier last van. Of ook de huidige toestellen met lollipop hebben hier last van dus wij wachten nog met de volledige uitrol voordat er pas meer bekend komt.

Oftewel wat ik hier uit lees dat er nog geen fix op het programma staan voor toestellen die nu al L hebben en die geen L gaan krijgen.

roebfromthebloc 30 juni 2015 14:38

Op mijn G3 zal geen Lollipop komen, nu 5.1 niet uitgerold wordt voor deze telefoon.

Dan maar wachten op Android M.

MR_FIAT 30 juni 2015 14:49

Ik heb een LG spirit met 5.0.1. Is die vatbaar hiervoor? Niet dat ik ooit publieke wifi hotspots gebruik maar toch een beetje zorgelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: