LG geeft Update Center in Android-smartphones update om ssl-lek te dichten

LG gaat de app Update Center op zijn huidige Android-toestellen toch een update geven om het ssl-lek te dichten. Dat zegt de fabrikant in een reactie tegen Tweakers. Het is voor het eerst dat de fabrikant zegt zijn Update Center te fixen op alle toestellen.

In de reactie erkent de Zuid-Koreaanse fabrikant het lek, maar nuanceert dat niet alle toestellen vatbaar zijn voor de man-in-the-middle-aanval. "Eind maart van dit jaar is het lek gedicht en alle toestellen die draaien op Android 5.0 of hoger vereisen het goede ssl-certificaat voor ze een applicatie installeren", aldus de fabrikant tegen Tweakers.

Dat laat het lek nog open voor alle LG-toestellen met Android 4.4 of lager. Daarvoor komt, in tegenstelling tot wat de fabrikant eerder zei, een fix voor alle LG-toestellen. "We bereiden momenteel de softwarepatch voor en die zal de komende weken uitgerold worden."

LG's Update Center, waarmee de fabrikant zijn eigen apps updatet op Android-telefoons, bleek het ssl-certificaat van de server waar het de app ophaalt niet te controleren, waardoor een aanvaller via een gekaapte verbinding een app met malware op het toestel kan krijgen. Het is onbekend of het lek actief is misbruikt.

Door Arnoud Wokke

Redacteur

01-07-2015 • 16:35

8 Linkedin

Reacties (8)

Wijzig sortering
Goh, en dit is niet Android specifiek, maar echt toe te wijden aan het Update Center van LG alleen??
Op mijn Sony Xperia heb ik ook een Update Center, maar dat komt dus niet vanuit Android :)

[Reactie gewijzigd door bonyuri op 1 juli 2015 16:38]

Heel veel apps op android controleren het SSL certificaat niet goed. Dit is er gewoon 1 van de zoveel.
https://www.fireeye.com/b...id-applications-talk.html
Alleen de update center van LG.

Zie artikel eerder deze week.
Het schijnt dat de Nexus 4 en 5 niet kwetsbaar zijn voor dit lek omdat deze op een "kale" versie draaien (dus zonder LG Update Center).

[Reactie gewijzigd door demokert op 1 juli 2015 18:05]

Als je geen LG Update Center hebt is het inderdaad ook niet kwetsbaar. :-)
Goed om te weten, was al aan het zoeken. ;)
Het zou eigenlijk zelf te kiezen moeten zijn of je SSL cert pinning wil of niet... in corporate omgevingen wil je net wél HTTPS filteren, en dat kan alleen met een MITM-oplossing...
Die Update Center is echt verschrikkelijk! Ik heb een LG L40 met Android 4.4 en er staat, sinds ik dat ding gekocht heb, een update voor McAfee Family Protection en Zaklamp (ding heeft niet een flits) en die gaat maar niet weg. Ook niet na installeren en weer deinstalleren. Hij blijft maar terugkomen. Echt om gek van te worden! Hopelijk is het met deze update opgelost, maar ik betwijfel het, omdat dit meer een veiligheidsupdate is en niet zozeer een app update. :'(

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee