LG: Sicherheitslücke in Android-Software

Nutzer von LG-Smartphones sind einer Sicherheitslücke ausgesetzt.

LG-Smartphone-Besitzer sollten ihr Betriebssystem auf den neuesten Stand bringen. Sonst können Fremde das Smartphone übernehmen.

Florian Wimmer, Veröffentlicht am 01.06.2016

Cybersicherheit ist in den letzten Monaten immer wieder ein Thema: Hacks bei LinkedIn und zahlreichen anderen Seiten machten Schlagzeilen. Auch Android hatte mit "StageFright" letztes Jahr ein ordentliches Sicherheitsproblem.

Exklusiv sind LG-Smartphones nun von zwei neuen Sicherheitslücken bedroht, die das Team von Check Point Software nun aufgedeckt hat. LG wurde vorab informiert und hat schon ein Update bereitgestellt, das die Lücken schließt, Nutzer von LG-Smartphones sollten also sicher gehen, dass ihr Betriebssystem auf dem neuesten Stand ist.

Die erste Lücke erlaubt es, dass bereits auf dem Smartphone installierte bösartige Apps sich Rechte verschaffen, die ihnen nicht zustehen und im schlimmsten Fall das komplette Smartphone übernehmen. Mit der zweiten Lücke ist es externen Angreifern möglich, SMS zu löschen oder zu manipulieren und sich so persönliche Daten zu beschaffen oder bösartige Apps zu installieren.

Im Detail geht es bei der ersten Lücke um den Service LGATCMDService, mit dem jede App kommunizieren kann, ohne vorher bestimmte Rechte bekommen zu haben. Über den Service kann man aber einen Kommunikationskanal mit der Firmware des Smartphones öffnen und auch mit atd, einem hochprivilegierten user mode daemon, den man beispielsweise benutzen kann, um folgende Dinge zu tun:

Private Identifikationsdaten des Smartphones wie IMEI oder MAC-Adresse auslesen und überschreiben
Das Gerät neu booten
Die USB-Verbindung abschalten
Daten auf dem Gerät löschen
Das Gerät komplett "bricken", also unbrauchbar machen

Dies könnte beispielsweise von Ransomware ausgenutzt werden.

Bei der zweiten Lücke macht das "WAP Push protocol" Probleme: Damit kann man URLs per SMS verschicken, was eigentlich eher für Netzbetreiber Sinn macht, als für den Nutzer selbst. Bei LG konnte dieses Protokoll vor dem Update nutzen, um Nutzer auf fremde URLs umzuleiten oder ihn dazu bringen, persönliche Daten zu übermitteln, indem ungelesene SMS manipuliert werden können.

Die Sicherheitslücke betrifft nur LG-Smartphones und ist wie erwähnt bereits behoben. Die Entwickler haben auch ein Video ins Netz gestellt, in dem sie die Lücken genau dokumentieren.

Quelle(n)

http://blog.checkpoint.com/2016/05/29/oems-have-flaws-too-exposing-two-new-lg-vulnerabilities/

Verwandte Artikel

Smartphones: Nutzer setzen bei Sicherheit auf Passwort oder Zahlencode News @ 16.08.2016
Offiziell: LG V20-Smartphone startet im September mit Android Nougat News @ 01.08.2016
Android Nougat: Kein Passwort-Reset durch Ransomware News @ 11.07.2016
Pokemon Go: Vorsicht vor Trojaner-infizierten APKs auf Android News @ 10.07.2016
Google Android: Juli-Patchpaket behebt mehr als 100 Sicherheitslücken News @ 09.07.2016
Android-Geräte-Verschlüsselung: Leicht zu hacken! News @ 02.07.2016
Sicherheit: Volksverschlüsselung für alle! News @ 30.06.2016
Sicherheit: Passwort gegen Schokolade? Funktioniert! News @ 29.06.2016
ZITis: Neue Entschlüsselungsbehörde für Deutschland News @ 24.06.2016
LG: Eigene Seite für Mobile Security News @ 22.06.2016
iPhone: Entwickler baut es zu Android-Device um News @ 08.06.2016
Keepass-Update-Check: Werbung vor Sicherheit? News @ 05.06.2016
Notebook und PC-Update-Tools: Sofort Deinstallieren! News @ 04.06.2016
LG Stylus 2 Plus: Mittelklasse-Full-HD-Phablet mit Stift News @ 03.06.2016
Android: Sicherheits-Apps mangelhaft News @ 02.06.2016
HTC Vive: Revive-Hack bringt Oculus-Games zurück News @ 23.05.2016
Lenovo: Erneut Sicherheitslücke in vorinstallierter Software News @ 09.05.2016
Security: 39 Prozent der Internetnutzer haben Sicherheitsbedenken bei persönlichen Daten News @ 17.03.2016
Fujitsu präsentiert 2-in-1 Stylistic Q736 mit verschiedenen Sicherheitstechnologien News @ 25.02.2016
Trendumfrage: Sicherheit für IT-Unternehmen Thema des Jahres News @ 25.01.2016

Loading Comments

Diesen Artikel kommentieren / Antworten

Xiaomi & Microsoft Partnerschaft: P...

Apple Macbook Pro: Erste Bilder des...

Florian Schmitt - Managing Editor Mobile - 1134 Artikel auf Notebookcheck veröffentlicht seit 2009

Als ich 2009 zu Notebookcheck kam, schrieb ich leidenschaftlich gerne über Gaming-Notebooks. Nachdem ich zwischenzeitlich beim Aufbau des Vergleichsportals Notebookinfo behilflich war und Social-Media-Konzepte für große Unternehmen wie BMW und Adidas entwickelte, kehrte ich 2012 zu Notebookcheck zurück. Nun kümmere ich mich um die Themen Smartphones, Tablets und Zukunftstechnologien und bin seit 2018 zusammen mit meinem Kollegen Daniel als Managing Editor für alle Tests zu Mobile Devices verantwortlich.

Kontakt: @FloSchmi26, LinkedIn, Xing

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2016-06 > LG: Sicherheitslücke in Android-Software

Autor: Florian Wimmer, 1.06.2016 (Update: 1.06.2016)