Detectado un fallo al comprobar el certificado SSL en LG Update Center en los equipos Android

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Casi todos los fabricantes de terminales móviles optan por instalar cierto software propio. Sin embargo, en algunas ocasiones este software posee problemas de seguridad que exponen la información del usuario. En esta ocasión, LG Update Center posee un fallo de seguridad que provoca que no se verifique de forma correcta la autenticidad de un certificado SSL.

De entrada hay que puntualizar que para aprovechar la vulnerabilidad de esta aplicación el ciberdelincuente debe estar en una posición muy concreta entre el usuario y el servidor al que se conecta la aplicación. Esto quiere decir que si se quiere llevar a cabo un ataque Man-in-the-Middle el atacante deberá al menos estar en la misma red WiFi que el usuario, por lo que en esta ocasión las redes inalámbricas públicas son el peor problema al que el usuario tendría que hacer frente.

Todas las compañías son muy herméticas y utilizan cifrados punto a punto para evitar exponer los datos transferidos. Esta no es una excepción, ya que tanto la aplicación del cliente como el servidor remoto lo hacen de forma correcta.

Por lo tanto, ¿dónde está el problema en realidad?

LG Update Center no comprueba la validez del certificado SSL utilizado

Tal y como suele ser habitual, el problema una vez más está localizado en el lado del usuario. Y es que esta no comprueba el certificado utilizado por el servidor lgcpm.com, lo que puede desembocar en los ataques MitM que hemos mencionado con anterioridad.

La vulnerabilidad, catalogada como CVE-2015-4110, fue descubierta en noviembre del pasado año y reportada a la compañía que confirmó que todos los teléfonos que actualizasen a Android Lollipop estarían libre de esta. Por lo tanto, para conocer qué terminales están afectados solo es necesario mirar que teléfonos han actualizado a esta versión.

LG

  • G4
  • G4c
  • G4 Dual
  • G Stylo
  • G4 Stylus
  • Magna
  • Spirit
  • Leon
  • Joy
  • G Flex2

La utilización de un certificado falso y la utilización por parte de esta aplicación de una gran cantidad de permisos en el sistema operativo podría provocar que una tercera persona fuese capaz de instalar malware haciendo uso de un certificado falso sin que el usuario fuese consciente de lo que está sucediendo.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone