Un bug compromete la seguridad de todos los smartphones Android de LG
Todos los fabricantes de smartphones Android personalizan la interfaz de usuario de sus terminales de forma más o menos eficiente --véase, por ejemplo, el caso de la última versión de TouchWiz incluida en los Samsung Galaxy S6--, introduciendo funcionalidades y aplicaciones que permitan dotar de elementos diferenciadores su software con respecto al de la competencia.
En el caso de la capa de personalización de LG hablamos de elementos como el Centro de Actualizaciones, un elemento del menú que permite gestionar las actualizaciones de las aplicaciones propietarias de la marca coreana. Como es lógico, dichas aplicaciones no están disponibles en Google Play. Pues bien, este Centro de Actualizaciones de LG es el protagonista de un nuevo agujero de seguridad descubierto por Search-Lab, un laboratorio de investigación dedicado a la seguridad informática situado en la Universidad de Budapest.
¿Qué hace este bug exactamente?
Según lo que podemos leer en HDBlog, los expertos Search-Lab han descubierto en sus tests que el Centro de Actualizaciones se comunica con el host web www.lgcpm.com a través de una conexión HTTPS, momento en el que la aplicación aún no ha verificado el certificado SSL.
De esta manera, el Centro de Actualizaciones expone el terminal a la intercepción y redirección de las conexiones por parte de terceras personas. Esto es lo que se conoce como un ataque Man In The Middle, algo que, como ya comentaron nuestros compañeros de Rootear, es uno de los problemas a los que se exponen HTTPS y SSL.
Si una tercera persona intercepta la conexión del Centro de Actualizaciones de LG con el host que hemos descrito anteriormente justo en el momento en el que aún no se ha verificado el certificado SSL, esto puede permitir la instalación de aplicaciones no certificadas y dañinas en formato APK sin haber pasado ningún tipo de control de seguridad. ¿Por qué? Aparte de por la redirección de la conexión, porque se supone que el Centro de Actualizaciones de LG es un canal seguro totalmente dedicado a sus aplicaciones.
El fallo empezó a estar activo desde noviembre de 2014
Esta vulnerabilidad descubierta por los expertos de Search-Lab lleva en activo desde noviembre de 2014, y en cuanto se tuvo conocimiento de la misma se remitieron los detalles a LG, que respondió afirmando que la solucionarán en actualizaciones posteriores. Sin embargo, a día de hoy, parece que el problema sigue presente y que afecta a todos los smartphones LG sin distinción de versiones.
Para evitar poner en riesgo la seguridad del propio dispositivo, se recomienda actualizar el terminal y de las aplicaciones de LG solamente a través de redes Wi-Fi de confianza y, si es posible, desactivar la actualización automática de las aplicaciones. En cualquier caso, entendemos que LG adoptará una posición oficial sobre esta cuestión y le pondrá remedio dentro de un plazo de tiempo razonable.
Por último y para terminar, recordamos que estos agujeros de seguridad descubiertos en LG, al igual que otros bastante serios como el bug MasterKey --para el que la Comunidad Android encontró una solución muy rápidamente--, no quiere decir que sean problemas reales para los usuarios o que haya hackers intentando colarse en nuestros teléfonos. Hasta la fecha no existen datos que hablen de que se haya explotado esta vulnerabilidad, pero sí es cierto que los fabricantes deben tomar medidas cuanto antes en esta clase de cuestiones.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.