Uma falha de segurança descrita pela SEARCH-LAB descoberta no final de 2014 expõe smartphones da LG à possíveis ataques
Em resposta, a fabricante afirmou que estavam considerando corrigir a falha mas apenas em modelos recentes, como aqueles que já vem com o Android Lollipop de fábrica. Porém, de acordo com a firma de segurança, todos os aparelhos Android da LG continuam vulneráveis.
A falha está presente no sistema de atualizações da LG. Assim como outras fabricantes, a LG insere seus próprios softwares para serem entregues junto aos seus dispositivos. Eles não ficam no ecossistema da loja de aplicativos da Google, a Play Store, então as atualizações também são entregues através de um canal próprio. No caso específico da LG, seus softwares próprios se atualizam pelo aplicativo “Update Center”.
O “Update Center” se comunica com o servidor www.lgcpm.com para verificar se existem atualizações disponíveis e a eventual atualização em si. A comunicação é feita através do protocolo HTTPS, que é criptografado, ao contrário do HTTP. Porém, o certificado SSL do servidor não é verificado pelo “Update Center”.
Certificados SSL são pequenos arquivos que unem uma chave de segurança com um servidor, permitindo comunicações seguras. Pode-se então tirar proveito da ausência de verificação e intermediar a comunicação entre o aplicativo e a rede. A técnica é mais conhecida como ataques man-in-the-middle.
Falhas desse tipo são bastante comuns, mas já que a comunicação é criptografada, geralmente não representam grandes perigos. Porém, como novos arquivos APK são baixados e instalados pelo canal de atualização, sem necessitar a autorização do usuário, o intermediário pode abusar a falha e instalar softwares no dispositivo do usuário sem seu conhecimento. Esses softwares, ao contrário de aplicativos normais, podem utilizar quase qualquer permissão mesmo que não concedidas pelo usuário, burlando assim o próprio sistema de segurança do sistema.
Essa falha chega junto à recentes notícias que vêm assustando os usuários. Recentemente, um estudo da Symantec apontou que 94,1% dos dispositivos Android estão vulneráveis a ataques por um problema no debuger do sistema. Já a Samsung recentemente teve uma crise de relações pública e causou dores de cabeça para outra empresa no caminho.
Os aparelhos da fabricante que vêm com o teclado SwiftKey instalado possuem uma falha similar. Ela pode ser explorada através do sistema de atualização do teclado.
Os responsáveis pela descoberta da falha alertam que o problema provavelmente continuará presente devido a decisão da LG.
É recomendado que deixem a função de atualização automática do dispositivo desativada e a usem somente quando conectados a redes Wi-Fi confiáveis.
Fonte: www.tudocelular.com
