به گزارش روابط عمومی شرکت ایدکو(توزیع کننده محصولات کسپرسکی در ایران)؛ وجود یک آسیبپذیری در بسیاری از گوشیهای LG به مهاجمان امکان میدهد فایلهای بدافزاری دلخواه خود را جایگزین فایلهای APK کنند.
اما مشکل در شرایط و ضوابط نصب نرمافزاری LG نهفته است. غول کرهای مانند اغلب سازندگان مطرح اسمارتفون اپلیکیشنهای ویژه خود را روی گوشیهایش نصب میکند؛ اپلیکیشنهای منحصر به فرد گوشیهایی LG که در Play Store گوگل پیدا نمیشود. این اپلیکیشنهای از پیش نصب شده برای بهروز رسانی به سرورهای LG متصل میشوند اما هر کدام ساختار بهروز رسانی متفاوتی دارند. محققان شرکت Search-Lab در مجارستان پی بردند که این اپلیکیشنها در طول فرآیند بهروز رسانی پروتکل امنیتی روی سرور مقصد را معتبر نمیشناسند و همین آسیبپذیری روزنهای را برای نفوذ مهاجمان به گوشیهای LG بهوجود میآورد.
Search-Lab در مقالهای درباره این آسیبپذیری نوشت: «اپلیکیشنهای جدید و یا بهروز رسانی اپلیکیشنها از طریق این کانال و بدون نیاز به تایید کاربران در قالب فایلهای APK روی گوشیها نصب میشوند، به این ترتیب مهاجمان میتوانند این فرآیند استاندارد را برای نصب نرمافزارهای خرابکارانه روی اسمارتفونهای کاربران دستکاری کنند. این اپلیکیشنها ممکن است از هر مجوزی برای نصب استفاده کنند که این مساله ممکن است پلتفرم امنیتی اندروید را کاملا از کار بیندازد.»
فرآیند بهروز رسانی روی گوشیهای هوشمند LG بهوسیله اپلیکیشن Update Center انجام و از طریق سروری به آدرس lgcpm.com صورت میگیرد. این اپلیکیشن برای بهروز رسانی خودکار اپلیکیشنها طراحی شده، اما محققان دریافتند که هکرها با قطع این اتصال میتوانند بی سروصدا اپلیکیشنهای خرابکارانه خود را جای اپلیکیشنهای مجاز LG روی گوشیها نصب کنند.
محققان میگویند: «اپلیکیشنهای جدید هنگام بهروز رسانی به دنبال appUrl میگردند که از کدگذاری base64 و یک URL رمزنگاری شده برخوردار است. این کلید رمزنگاری برپایه certKey طراحی شده که بخشی از همان پیام اولیه محسوب میشود. از آنجا که هیچ فرآیندی برای محافظت از پیامها وجود ندارد، مهاجمان میتوانند فرآیند بهروز رسانی اپلیکیشنها را قطع کنند و appUrl را با URL دلخواه خود برای دانلود فایلهای APK خرابکارانه جایگزین کنند.
«بهاین ترتیب فایل APK هکرها بدون آگاهی کاربران روی گوشی نصب میشود. این فرآیند حتی ممکن است در پسزمینه و در زمانی اتفاق بیفتد که کاربران گمان میکنند Update Center مشغول انجام بهروز رسانیهای لازم برای گوشی است.»
Search-Lab این آسیبپذیری را در ماه نوامبر گذشته گزارش داد و اعلام کرد LG این نقص امنیتی را تنها روی گوشیهای جدید برطرف خواهد کرد و برای رفع آن روی گوشیهای قدیمیتر برنامهای ندارد. با وجود این محققان توصیه میکنند کاربران گوشیهای قدیمیتر LG گزینه Auto app update (بهروز رسانی خودکار اپلیکیشنها) را روی گوشیهای خود غیرفعال کنند.
امره راد، یکی از اعضای ارشد Search-Lab میگوید: «گوشیسازها برای بهروز رسانی هر اپلیکیشنی باید از اپراتورها تاییدیه بگیرند، اما در مورد LG اکثر اپلیکیشنهای این شرکت آلوده شده است. LG نیز در یک تصمیم تجاری اعلام کرد «فعلا» قصد ندارد این آسیبپذیری را برای اکثر کاربران خود رفع کند.»
مقامات LG اعلام کردند این گزارش امنیتی را باید دقیقتر بررسی کنند.