Casi todos los fabricantes de terminales móviles optan por instalar cierto software propio. Sin embargo, en algunas ocasiones este software posee problemas de seguridad que exponen la información del usuario. En esta ocasión, LG Update Center posee un fallo de seguridad que provoca que no se verifique de forma correcta la autenticidad de un certificado SSL.
De entrada hay que puntualizar que para aprovechar la vulnerabilidad de esta aplicación el ciberdelincuente debe estar en una posición muy concreta entre el usuario y el servidor al que se conecta la aplicación. Esto quiere decir que si se quiere llevar a cabo un ataque Man-in-the-Middle el atacante deberá al menos estar en la misma red WiFi que el usuario, por lo que en esta ocasión las redes inalámbricas públicas son el peor problema al que el usuario tendría que hacer frente.
Todas las compañías son muy herméticas y utilizan cifrados punto a punto para evitar exponer los datos transferidos. Esta no es una excepción, ya que tanto la aplicación del cliente como el servidor remoto lo hacen de forma correcta.
Por lo tanto, ¿dónde está el problema en realidad?
LG Update Center no comprueba la validez del certificado SSL utilizado
Tal y como suele ser habitual, el problema una vez más está localizado en el lado del usuario. Y es que esta no comprueba el certificado utilizado por el servidor lgcpm.com, lo que puede desembocar en los ataques MitM que hemos mencionado con anterioridad.
La vulnerabilidad, catalogada como CVE-2015-4110, fue descubierta en noviembre del pasado año y reportada a la compañía que confirmó que todos los teléfonos que actualizasen a Android Lollipop estarían libre de esta. Por lo tanto, para conocer qué terminales están afectados solo es necesario mirar que teléfonos han actualizado a esta versión.
- G4
- G4c
- G4 Dual
- G Stylo
- G4 Stylus
- Magna
- Spirit
- Leon
- Joy
- G Flex2
La utilización de un certificado falso y la utilización por parte de esta aplicación de una gran cantidad de permisos en el sistema operativo podría provocar que una tercera persona fuese capaz de instalar malware haciendo uso de un certificado falso sin que el usuario fuese consciente de lo que está sucediendo.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
