Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 8 reacties

LG gaat de app Update Center op zijn huidige Android-toestellen toch een update geven om het ssl-lek te dichten. Dat zegt de fabrikant in een reactie tegen Tweakers. Het is voor het eerst dat de fabrikant zegt zijn Update Center te fixen op alle toestellen.

In de reactie erkent de Zuid-Koreaanse fabrikant het lek, maar nuanceert dat niet alle toestellen vatbaar zijn voor de man-in-the-middle-aanval. "Eind maart van dit jaar is het lek gedicht en alle toestellen die draaien op Android 5.0 of hoger vereisen het goede ssl-certificaat voor ze een applicatie installeren", aldus de fabrikant tegen Tweakers.

Dat laat het lek nog open voor alle LG-toestellen met Android 4.4 of lager. Daarvoor komt, in tegenstelling tot  wat de fabrikant eerder zei, een fix voor alle LG-toestellen. "We bereiden momenteel de softwarepatch voor en die zal de komende weken uitgerold worden."

LG's Update Center, waarmee de fabrikant zijn eigen apps updatet op Android-telefoons, bleek het ssl-certificaat van de server waar het de app ophaalt niet te controleren, waardoor een aanvaller via een gekaapte verbinding een app met malware op het toestel kan krijgen. Het is onbekend of het lek actief is misbruikt.

Moderatie-faq Wijzig weergave

Reacties (8)

Goh, en dit is niet Android specifiek, maar echt toe te wijden aan het Update Center van LG alleen??
Op mijn Sony Xperia heb ik ook een Update Center, maar dat komt dus niet vanuit Android :)

[Reactie gewijzigd door bonyuri op 1 juli 2015 16:38]

Heel veel apps op android controleren het SSL certificaat niet goed. Dit is er gewoon 1 van de zoveel.
https://www.fireeye.com/b...id-applications-talk.html
Alleen de update center van LG.

Zie artikel eerder deze week.
Het schijnt dat de Nexus 4 en 5 niet kwetsbaar zijn voor dit lek omdat deze op een "kale" versie draaien (dus zonder LG Update Center).

[Reactie gewijzigd door demokert op 1 juli 2015 18:05]

Als je geen LG Update Center hebt is het inderdaad ook niet kwetsbaar. :-)
Goed om te weten, was al aan het zoeken. ;)
Het zou eigenlijk zelf te kiezen moeten zijn of je SSL cert pinning wil of niet... in corporate omgevingen wil je net wl HTTPS filteren, en dat kan alleen met een MITM-oplossing...
Die Update Center is echt verschrikkelijk! Ik heb een LG L40 met Android 4.4 en er staat, sinds ik dat ding gekocht heb, een update voor McAfee Family Protection en Zaklamp (ding heeft niet een flits) en die gaat maar niet weg. Ook niet na installeren en weer deinstalleren. Hij blijft maar terugkomen. Echt om gek van te worden! Hopelijk is het met deze update opgelost, maar ik betwijfel het, omdat dit meer een veiligheidsupdate is en niet zozeer een app update. :'(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True