I ricercatori del laboratorio di sicurezza Search-Lab hanno scovato una grave falla di sicurezza sui dispositivi Android di LG.
Nel tentare di personalizzare e differenziare dalla concorrenza i propri dispositivi Android, quasi tutti i maggiori produttori di smartphone e tablet realizzano delle interfacce utente proprietarie arricchendole di applicativi e giochi sviluppati internamente, ma in alcuni casi la scelta di affidarsi a risorse interne, piuttosto che utilizzare quanto messo a disposizione direttamente da Google, ha anche aspetti negativi, come dimostra la grave falla di sicurezza scoperta nell’applicazione di gestione degli aggiornamenti di LG, che potrebbe potenzialmente consentire la violazione di tutti i dispositivi Android della casa coreana da parte degli hacker.
L’allarme di Search-Lab
Un recente allarme lanciato da Search-Lab, laboratorio esperto nella ricerca e sicurezza di Bucarest, pone l’attenzione sull’applicazione “Centro Aggiornamenti“, presente su praticamente tutti i dispositivi Android LG, per consentire l’aggiornamento delle applicazioni preinstallate non presenti sul canale ufficiale Google Play, oltre a verificare la presenza ed eventualmente aggiornare il firmware dei dispositivi. Secondo quanto riportato da Search-Lab, l’applicazione “Centro Aggiornamenti” comunicando con l’host www.lgcpm.com attraverso una connessione HTTPS per verificare la presenza di aggiornamenti ed eventualmente scaricarli, non verifica il certificato SSL del server, rendendo possibile ad un eventuale hacker, l’intercettazione della connessione, con la possibile manomissione dei dati inviati e ricevuti.
Questa falla potrebbe quindi consentire ad un pirata informatico di installare un applicazione potenzialmente dannosa sul dispositivo intercettato, senza che l’utente si possa rendere conto di nulla, visto che tra l’altro, l’app “Centro Aggiornamenti”, di default, consente il download e l’installazione di aggiornamenti in modo del tutto automatico e silente
LG non si è mossa per tempo
Search-Lab, come ormai prassi, ha comunicato immediatamente, lo scorso Novembre, la scoperta ad LG, la quale ha confermato la propria volontà di chiudere la falla rilasciando aggiornamenti dell’applicazione “Centro Aggiornamenti”, ma purtroppo, passati i canonici 8 mesi di attesa, il laboratorio di ricerca vista la mancanza dell’arrivo di un fix al problema, ha deciso di divulgare pubblicamente la notizia, al fine di sensibilizzare ulteriormente LG.
La soluzione temporanea
Fino all’arrivo di una soluzione definitiva del problema da parte di LG, consigliamo i possessori di smartphone e tablet Android targati LG di procedere agli aggiornamenti delle applicazioni proprietarie esclusivamente attraverso reti Wi-Fi conosciute ed eventualmente disattivare l’aggiornamento automatico delle applicazioni, accedendo all’applicazione, entrando nelle impostazioni e disattivando l’apposita voce, come mostrato nelle immagini sottostanti.
Rimaniamo in attesa di una comunicazione ufficiale di LG in merito al problema, ma sopratutto del rilascio di un aggiornamento che risolva definitivamente questa falla che riguarda tutti i dispositivi Android di LG.
