LG: Sicherheitslücke in Android-Software
Cybersicherheit ist in den letzten Monaten immer wieder ein Thema: Hacks bei LinkedIn und zahlreichen anderen Seiten machten Schlagzeilen. Auch Android hatte mit "StageFright" letztes Jahr ein ordentliches Sicherheitsproblem.
Exklusiv sind LG-Smartphones nun von zwei neuen Sicherheitslücken bedroht, die das Team von Check Point Software nun aufgedeckt hat. LG wurde vorab informiert und hat schon ein Update bereitgestellt, das die Lücken schließt, Nutzer von LG-Smartphones sollten also sicher gehen, dass ihr Betriebssystem auf dem neuesten Stand ist.
Die erste Lücke erlaubt es, dass bereits auf dem Smartphone installierte bösartige Apps sich Rechte verschaffen, die ihnen nicht zustehen und im schlimmsten Fall das komplette Smartphone übernehmen. Mit der zweiten Lücke ist es externen Angreifern möglich, SMS zu löschen oder zu manipulieren und sich so persönliche Daten zu beschaffen oder bösartige Apps zu installieren.
Im Detail geht es bei der ersten Lücke um den Service LGATCMDService, mit dem jede App kommunizieren kann, ohne vorher bestimmte Rechte bekommen zu haben. Über den Service kann man aber einen Kommunikationskanal mit der Firmware des Smartphones öffnen und auch mit atd, einem hochprivilegierten user mode daemon, den man beispielsweise benutzen kann, um folgende Dinge zu tun:
- Private Identifikationsdaten des Smartphones wie IMEI oder MAC-Adresse auslesen und überschreiben
- Das Gerät neu booten
- Die USB-Verbindung abschalten
- Daten auf dem Gerät löschen
- Das Gerät komplett "bricken", also unbrauchbar machen
Dies könnte beispielsweise von Ransomware ausgenutzt werden.
Bei der zweiten Lücke macht das "WAP Push protocol" Probleme: Damit kann man URLs per SMS verschicken, was eigentlich eher für Netzbetreiber Sinn macht, als für den Nutzer selbst. Bei LG konnte dieses Protokoll vor dem Update nutzen, um Nutzer auf fremde URLs umzuleiten oder ihn dazu bringen, persönliche Daten zu übermitteln, indem ungelesene SMS manipuliert werden können.
Die Sicherheitslücke betrifft nur LG-Smartphones und ist wie erwähnt bereits behoben. Die Entwickler haben auch ein Video ins Netz gestellt, in dem sie die Lücken genau dokumentieren.