Udostępnij:

Wielu użytkowników smartfonów LG może posiadać urządzenia z poważnymi lukami bezpieczeństwa, które mogą być wykorzystane przez cyberprzestępców do wyciągnięcia loginów i haseł. Winna jest systemowa klawiatura. Zalecane jest jak najszybsze pobranie ostatniej aktualizacji.

Za odkryciem błędów w zabezpieczeniach stoi firma Check Point Research. Luki w systemowej klawiaturze zostały znalezione już kilka miesięcy temu. Badania dowiodły, że mogą być wykorzystane w topowych modelach LG, takich jak G4, G5 i G6. Odkryte luki zostały zgłoszone do LG. jak podaje Check Point, południowokoreański producent już zareagował, wprowadzając stosowne poprawki w majowej aktualizacji zabezpieczeń (LVE-SMP-170025).

Znalezione podatności mogły być wykorzystane do uzyskania dodatkowych uprawnień poprzez manipulowanie procesem aktualizacji klawiatury i działanie jako keylogger. Cyberprzestępcy mogą wyciągnąć wiele wrażliwych informacji, w tym nawet dane logowania. Pierwsza podatność wykorzystywała niebezpieczne połączenie z serwerem, druga natomiast skupiała się na sposobie zapisywania pobieranych plików.

Pierwsza luka znajdowała się w opcji obsługi pisma odręcznego. Po wybraniu opcji zainstalowania nowego języka lub wykonania aktualizacji bieżącego, smartfon pobiera odpowiedni plik z wcześniej sztywno ustawionego serwera. Używane jest niezabezpieczone połączenie HTTP, narażając użytkownika na wyciek danych i atak typu Man in the middle, który sprowadza się do podsłuchu i manipulacji przesyłanych informacji.

Proces pobierania paczek językowych składa się z dwóch etapów, najpierw pobierany jest plik files.txt, który następnie używany jest do pobrania kolejnych danych według umieszczonych w nim informacji. W związku z tym, że połączenie nie jest zabezpieczone, ten plik może zostać zmodyfikowany lub zmieniony. Umieszczone w nim spreparowane adresy URL mogą posłużyć do pobrania zainfekowanych plików.

Druga podatność opiera się na manipulacji lokalizacją plików. Lokalizacja kontrolowana jest przez serwer MITM proxy. Miejsce zapisania pliku zależy od jego nazwy w files.txt. Systemowa klawiatura zakłada, że każdy plik lib może być częścią pakietu językowego i udziela uprawnień do wykonywania zadań wszystkim pobranym plikom z rozszerzeniem .so. Może to doprowadzić do uruchomienia fałszywych plików biblioteki. Spreparowana biblioteka zostanie załadowana po ponownym uruchomieniu aplikacji klawiatury.

W sprawie luk skontaktowaliśmy się z LG Polska. Otrzymaliśmy oficjalny komentarz firmy:

LG Electronics traktuje priorytetowo wszelkie kwestie związane z bezpieczeństwem swoich produktów. Inżynierowie zidentyfikowali lukę, która może stwarzać potencjalne zagrożenie i przygotowali stosowną łatkę. Zostanie ona zastosowana w zbliżających się aktualizacjach oprogramowania dla modeli, których dotyczy.

Aktualizacja 15.05 Dziś otrzymaliśmy dokładniejszą informację od LG Polska:

Poprawka eliminująca wspomniany błąd w aplikacji została udostępniona poprzez menu Centrum aktualizacji w marcu tego roku, dla smartfonów LG z systemem Android KitKat lub nowszym. Ponadto, we wszystkich nowych wersjach oprogramowania posiadających poprawki zabezpieczeń datowane na maj 2018 stosowna łatka będzie już zastosowana fabrycznie