Bug en software de LG compromete la seguridad de sus smartphones

Bug en software de LG compromete la seguridad de sus smartphones

Bug en software de LG compromete la seguridad de sus smartphones

El protagonista del nuevo fallo de seguridad viene de parte de la capa de personalización que aporta LG sus móviles, mas concretamente, cuando el Centro de Actualizaciones intenta conectarse con el host lgcpm.com vía HTTPS pero el certificado SSL no es reconocido por la aplicación lo que deja puertas abiertas a  ataques “man in the middle”.

2

Estas capas de personalización son normales entre los fabricantes (aunque habitualmente suele llevar a fallos de seguridad) como elemento diferenciador respecto de las otras marcas que hagan la competencia.

El bug existe desde 2014

Descubierta por expertos de Search-Lab lleva activada desde noviembre de 2014 y en cuanto se conoció el fallo se reporto a los responsables de LG, asegurando que posteriormente solucionarían el bug con nuevas actualizaciones.

Se recomienda ser precavidos con la seguridad, actualizar solo en redes Wi-Fi que sepamos que son seguras y dentro de lo posible deshabilitar las actualizaciones automáticas.

Funcionamiento

Segun lo que han descubierto los expertos de Search-Lab, el Centro de Actualizaciones se comunica con con el host web www.lgcpm.com a través de una conexión HTTPS, momento en el que la aplicación aún no ha verificado el certificado SSL.

De este modo, el bug permite a una tercera persona interceptar y redireccionar las conexiones, lo que puede permitir la instalación instalación de aplicaciones dañinas y no certificadas en formato APK sin pasar por ningún tipo de control de seguridad, esto haciéndose antes de que se verifique la conexión en el Centro de aplicaciones, ya que el Centro se considera una fuente fiable de aplicaciones.

 

LG afirma que este bug ya ha sido parchado hacia finales de marzo en todos los modelos que tengan instalada cualquier Android Lollipop, aun así, el resto de terminales que usen Android KitKat 4.4 o JellyBean siguen siendo vulnerables a este fallo pero existe el compromiso de que LG parcheara el bug a lo largo de los próximos meses.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *