Categories: Cybersicherheit

LG-Smartphones: Kritische Sicherheitslücken erlauben Angriffe aus der Ferne

Sicherheitsforscher von Check Point haben jetzt auf der Konferenz LayerOne 2016 in Los Angeles zwei kritische Schwachstellen bei Mobilgeräten von LG enthüllt. Sie können dafür verwendet werden, sie zu kompromittieren, die Android-Geräte zu übernehmen und Daten zu stehlen. Die Anfälligkeiten sind nur bei LG-Geräten vorhanden und ermöglichen es, “Berechtigungen auf LG-Geräten zu erhöhen, um sie aus der Ferne anzugreifen”.

(Screenshot: ZDNet.de)

Gefunden wurde die Sicherheitslücke CVE-2016-3117 in LGATCMDService, einem nicht hinreichend durch Berechtigungen gesicherten Dienst. Adam Donenfeld von Check Point zufolge kann jegliche Anwendung, egal welcher Herkunft, mit ihr kommunizieren.

“Durch die Verbindung mit diesem Dienst könnte ein Angreifer atd adressieren, einen hoch privilegierten User-Mode-Daemon und ein Eingangstor für Kommunikation mit der Firmware”, erklärt Donenfeld. Eine Ausnutzung könnte zu ausgeweiteten Berechtigungen und einer Übernahme des Geräts führen. So würden erneutes Booten, das Kappen von USB-Verbindungen, Datenlöschung und die Identifizierung von Kennungen wie der MAC-Adresse des Geräts ermöglicht. Schließlich könnte das Gerät auch komplett funktionsunfähig gemacht werden.

Die zweite Sicherheitslücke CVE-2016-2035 findet sich in LGs Ausführung des WAP-Push-Protokolls. Dieses Protokoll dient zum Senden von URLs mit Textnachrichten an mobile Geräte. Durch die LG-Implementation kam es zu einer SQL-Schwachstelle. Ein Angreifer könnte so eine SMS senden und in der Folge auf dem Gerät gesicherte Nachrichten betrachten, verändern oder löschen. Nach der Kompromittierung des Geräts auf diese Art wären zudem Phishing-Angriffe auf andere attraktive Ziele möglich.

LG wurde vor der öffentlichen Enthüllung von der Sicherheitsfirma Check Point vertraulich über die Schwachstellen informiert. Inzwischen sind Patches verfügbar, um ihre Ausnutzung zu verhindern.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

7 Stunden ago

Digitale Richterassistenten für Justiz Baden-Württemberg

KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.

11 Stunden ago

Autonome KI Sales Agents unterstützen Vertrieb

Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…

1 Tag ago

All-Flash-Rechenzentren senken Energiekonsum durch KI

KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…

3 Tagen ago

Digitaler Zwilling hilft Hofbieber zur Erreichung der Klimaziele

Die hessische Gemeinde plant, bis 2030 klimaneutral zu werden, indem sie einen Digitalen Zwilling von…

3 Tagen ago

Stromversorgung und Kühlung im KI-Rechenzentrum

Durch Künstliche Intelligenz verändert sich die Infrastruktur von Rechenzentren grundlegend, sagt Anton Chuchkov von Vertiv.

3 Tagen ago