Cabecera-v2-web.jpg

Detectado un fallo al comprobar el certificado SSL en LG Update Center en los equipos Android.


Casi todos los fabricantes de terminales móviles optan por instalar cierto software propio. Sin embargo, en algunas ocasiones este software posee problemas de seguridad que exponen la información del usuario. En esta ocasión, LG Update Center posee un fallo de seguridad que provoca que no se verifique de forma correcta la autenticidad de un certificado SSL.

De entrada hay que puntualizar que para aprovechar la vulnerabilidad de esta aplicación el ciberdelincuente debe estar en una posición muy concreta entre el usuario y el servidor al que se conecta la aplicación. Esto quiere decir que si se quiere llevar a cabo un ataque Man-in-the-Middle el atacante deberá al menos estar en la misma red WiFi que el usuario, por lo que en esta ocasión las redes inalámbricas públicas son el peor problema al que el usuario tendrí­a que hacer frente.

Todas las compañí­as son muy herméticas y utilizan cifrados punto a punto para evitar exponer los datos transferidos. Esta no es una excepción, ya que tanto la aplicación del cliente como el servidor remoto lo hacen de forma correcta.

Por lo tanto, ¿dónde está el problema en realidad?


LG Update Center no comprueba la validez del certificado SSL utilizado

Tal y como suele ser habitual, el problema una vez más está localizado en el lado del usuario. Y es que esta no comprueba el certificado utilizado por el servidor lgcpm.com, lo que puede desembocar en los ataques MitM que hemos mencionado con anterioridad.

La vulnerabilidad, catalogada como CVE-2015-4110, fue descubierta en noviembre del pasado año y reportada a la compañí­a que confirmó que todos los teléfonos que actualizasen a Android Lollipop estarí­an libre de esta. Por lo tanto, para conocer qué terminales están afectados solo es necesario mirar que teléfonos han actualizado a esta versión.

lg update center fallo de seguridad

  • G4
  • G4c
  • G4 Dual
  • G Stylo
  • G4 Stylus
  • Magna
  • Spirit
  • Leon
  • Joy
  • G Flex2

La utilización de un certificado falso y la utilización por parte de esta aplicación de una gran cantidad de permisos en el sistema operativo podrí­a provocar que una tercera persona fuese capaz de instalar malware haciendo uso de un certificado falso sin que el usuario fuese consciente de lo que está sucediendo.


Fuente: redeszone.net

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11