LG Update Center, een app die standaard is te vinden op de LG smartphones met Android, is kwetsbaar voor aanvallen. Smartphones zoals de LG G2, LG G3 en LG G4 zijn enkele voorbeelden van smartphones die vatbaar zijn voor het lek in de update-app van LG.
LG Update Center
Smartphones van het Koreaanse merk LG zijn vatbaar voor zogenoemde man-in-the-middle aanvallen, dat meldt Tweakers. LG Update Center is de applicatie die het lek veroorzaakt. Via deze applicatie kunnen systeem-apps zoals de rekenmachine, agenda en weer-app zonder tussenkomst van de Play Store van een update voorzien worden. In theorie is het mogelijk dat er malware gedownload wordt in plaats van de desbetreffende toepassing. Dit komt doordat LG Update Center geen controle uitvoert op het SSL-certificaat.
De malware kan dan in het ergste geval als legitieme applicatie gezien worden. Voordat dit zal gebeuren, moet de aanvaller wel eerst de verbinding kapen. Dit kan bijvoorbeeld gedaan worden wanneer een LG smartphone zich verbindt met een publieke WiFi-hotspot. Zover bekend is op dit moment nog geen misbruik gemaakt van dit lek, zo meldt het Hongaarse Search Lab.
Search Lab maakte in november 2014 al melding van het lek bij LG. LG zou aan de Hongaarse bron hebben laten weten dat een fix voor het lek voor toekomstige toestellen klaar staat. Vreemd genoeg lijkt het hierbij op dat huidige toestellen (zoals de LG G2, LG G3 en LG G4) voorlopig kwetsbaar blijven voor aanvallen.
Automatische updates uitschakelen
Door automatische updates in Update Center uit te schakelen, kan een aanval in principe voorkomen worden. Het uitschakelen van automatische updates in Update Center gaat als volgt:
- Ga naar ‘Instellingen’
- Selecteer het tabblad ‘Algemeen’
- Ga naar ‘Over de telefoon’
- Ga naar ‘Update Center’
- Selecteer ‘Applicatie updaten’
- Klik op de drie puntjes voor het menu > instellingen
- Klik op ‘Apps automatisch bijwerken’ en vervolgens zet je deze op ‘uit’
UPDATE 01-07-2015 16:00 uur:
Het hoofdkantoor van LG laat in een reactie aan DroidApp het volgende weten omtrent de berichtgeving over het lek in Update Center:
LG is committed to security in all our products and remains committed to providing a user experience that customers can trust. A recent article reported on a vulnerability in the Update Center app found on all LG smartphones. Since the end of March 2015, the vulnerability in LG’s Update Center has been repaired and currently all LG smartphones running Android 5.0 (Lollipop) and higher require SSL certificate verification before an application can be installed. For pre-Lollipop LG smartphones, a software patch is currently being prepared and will be issued over the next several weeks starting this month.
We appreciate our customers’ patience and understanding that greater security is an ongoing, never-ending mission at LG.
Bekijk ook:
