Notebookcheck

LG: Sicherheitslücke in Android-Software

Nutzer von LG-Smartphones sind einer Sicherheitslücke ausgesetzt.
Nutzer von LG-Smartphones sind einer Sicherheitslücke ausgesetzt.
LG-Smartphone-Besitzer sollten ihr Betriebssystem auf den neuesten Stand bringen. Sonst können Fremde das Smartphone übernehmen.

Cybersicherheit ist in den letzten Monaten immer wieder ein Thema: Hacks bei LinkedIn und zahlreichen anderen Seiten machten Schlagzeilen. Auch Android hatte mit "StageFright" letztes Jahr ein ordentliches Sicherheitsproblem.

Exklusiv sind LG-Smartphones nun von zwei neuen Sicherheitslücken bedroht, die das Team von Check Point Software nun aufgedeckt hat. LG wurde vorab informiert und hat schon ein Update bereitgestellt, das die Lücken schließt, Nutzer von LG-Smartphones sollten also sicher gehen, dass ihr Betriebssystem auf dem neuesten Stand ist.

Die erste Lücke erlaubt es, dass bereits auf dem Smartphone installierte bösartige Apps sich Rechte verschaffen, die ihnen nicht zustehen und im schlimmsten Fall das komplette Smartphone übernehmen. Mit der zweiten Lücke ist es externen Angreifern möglich, SMS zu löschen oder zu manipulieren und sich so persönliche Daten zu beschaffen oder bösartige Apps zu installieren.

Im Detail geht es bei der ersten Lücke um den Service LGATCMDService, mit dem jede App kommunizieren kann, ohne vorher bestimmte Rechte bekommen zu haben. Über den Service kann man aber einen Kommunikationskanal mit der Firmware des Smartphones öffnen und auch mit atd, einem hochprivilegierten user mode daemon, den man beispielsweise benutzen kann, um folgende Dinge zu tun:

  • Private Identifikationsdaten des Smartphones wie IMEI oder MAC-Adresse auslesen und überschreiben
  • Das Gerät neu booten
  • Die USB-Verbindung abschalten
  • Daten auf dem Gerät löschen
  • Das Gerät komplett "bricken", also unbrauchbar machen

Dies könnte beispielsweise von Ransomware ausgenutzt werden.

Bei der zweiten Lücke macht das "WAP Push protocol" Probleme: Damit kann man URLs per SMS verschicken, was eigentlich eher für Netzbetreiber Sinn macht, als für den Nutzer selbst. Bei LG konnte dieses Protokoll vor dem Update nutzen, um Nutzer auf fremde URLs umzuleiten oder ihn dazu bringen, persönliche Daten zu übermitteln, indem ungelesene SMS manipuliert werden können.

Die Sicherheitslücke betrifft nur LG-Smartphones und ist wie erwähnt bereits behoben. Die Entwickler haben auch ein Video ins Netz gestellt, in dem sie die Lücken genau dokumentieren.

Unsere unabhängige Redaktion wird durch Werbung bezahlt. Wir zeigen Lesern die geringst-mögliche Menge an Ads, jedoch sehen Adblock-Nutzer mehr und qualitativ schlechtere Werbung. Bitte schalten Sie Ad-Blocker ab.

Quelle(n)

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten

Redakteur gesucht!

Du bist ein hochmotivierter und treuer Leser von Notebookcheck und willst mitgestalten? Dann bewirb dich jetzt!
Wir suchen die Besten für unser Team!

Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2016-06 > LG: Sicherheitslücke in Android-Software
Autor: Florian Wimmer,  1.06.2016 (Update:  1.06.2016)
Florian Schmitt
Florian Schmitt - Managing Editor Mobile
Als ich 12 war, kam der erste Computer ins Haus und sofort fing ich an rumzubasteln, zu zerlegen, mir neue Teile zu besorgen und auszutauschen – schließlich musste immer genug Leistung für die aktuellen Games vorhanden sein. Als ich 2009 zu Notebookcheck kam, testete ich mit Leidenschaft Gaming-Notebook, seit 2012 gilt meine Aufmerksamkeit vor allem Smartphones, Tablets und Zukunftstechnologien.