Sicherheitsforscher von Check Point haben jetzt auf der Konferenz LayerOne 2016 in Los Angeles zwei kritische Schwachstellen bei Mobilgeräten von LG enthüllt. Sie können dafür verwendet werden, sie zu kompromittieren, die Android-Geräte zu übernehmen und Daten zu stehlen. Die Anfälligkeiten sind nur bei LG-Geräten vorhanden und ermöglichen es, “Berechtigungen auf LG-Geräten zu erhöhen, um sie aus der Ferne anzugreifen”.
Gefunden wurde die Sicherheitslücke CVE-2016-3117 in LGATCMDService, einem nicht hinreichend durch Berechtigungen gesicherten Dienst. Adam Donenfeld von Check Point zufolge kann jegliche Anwendung, egal welcher Herkunft, mit ihr kommunizieren.
“Durch die Verbindung mit diesem Dienst könnte ein Angreifer atd adressieren, einen hoch privilegierten User-Mode-Daemon und ein Eingangstor für Kommunikation mit der Firmware”, erklärt Donenfeld. Eine Ausnutzung könnte zu ausgeweiteten Berechtigungen und einer Übernahme des Geräts führen. So würden erneutes Booten, das Kappen von USB-Verbindungen, Datenlöschung und die Identifizierung von Kennungen wie der MAC-Adresse des Geräts ermöglicht. Schließlich könnte das Gerät auch komplett funktionsunfähig gemacht werden.
Die zweite Sicherheitslücke CVE-2016-2035 findet sich in LGs Ausführung des WAP-Push-Protokolls. Dieses Protokoll dient zum Senden von URLs mit Textnachrichten an mobile Geräte. Durch die LG-Implementation kam es zu einer SQL-Schwachstelle. Ein Angreifer könnte so eine SMS senden und in der Folge auf dem Gerät gesicherte Nachrichten betrachten, verändern oder löschen. Nach der Kompromittierung des Geräts auf diese Art wären zudem Phishing-Angriffe auf andere attraktive Ziele möglich.
LG wurde vor der öffentlichen Enthüllung von der Sicherheitsfirma Check Point vertraulich über die Schwachstellen informiert. Inzwischen sind Patches verfügbar, um ihre Ausnutzung zu verhindern.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…