LG应用更新机制没有认证ssl cert

阅读量87718

|

发布时间 : 2016-01-07 14:49:13

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:https://threatpost.com/researcher-says-lg-app-update-mechanism-doesnt-verify-ssl-cert/113522/

译文仅供参考,具体内容表达以及含义原文为准。

https://p5.ssl.qhimg.com/t016226fecb6e0c8698.jpg

        由LG公司制造的许多款智能手机都包含一个漏洞,该漏洞使攻击者使用所选的恶意文件替换APK文件。

        现在的漏洞是LG手机的几个问题综合起来引发的。像其他厂商,LG的手机内置应用程序无法通过谷歌Play商店正常获取。这些应用程序是预先加载好的,并且依赖于连接LG服务器从而下载新的代码来单独更新机制。匈牙利Search-Lab实验室的研究人员发现了这些应用程序的更新过程中没有使用另一端的服务器提供的安全证书进行验证,所以使得黑客有机会对用户进行中间人攻击。

        “自从新的应用或应用程序通过APK形式进行升级而不是需要任何用户的额外的确认安装,恶意的攻击者很有可能滥用这些功能,将任意的应用程序安装到受害者的智能手机。这些应用程序可以使用任何权限(除了那些需要签署的系统密钥),有效地规避安卓自身平台的安全性,”Search-Lab实验室再对漏洞的说明中写道。

        相关研究人员说,该过程通过更新中心的应用程序控制LG手机,并且当该应用寻找新的更新时会在lgcpm.com连接服务器。该应用程序被设计为自动安装更新,并且在特定的位置攻击者使用MITM中间人攻击能够暗中劫持连接,并恶意替换目标应用程序。

        研究人员说:“当获取新的应用程序时,客户端会查找”appUrl“字段,其中包含base64编码,加密的URL。加密密钥是对称的,它基于certKey字段,该字段是相同消息的一部分。由于这些消息没有应用完整性保护,攻击者可以截获这些实时更新的响应,并且可以使用任意的指向某潜在恶意APK的URL来替换appUrl的值”。

        “这样一来手机用户在不知情的情况下获取了被攻击者控制的APK文件。这甚至可能发生在后台,即更新中心提示LG的应用程序的新版本可用”。

        对于Search-Lab实验室在11月报告的LG漏洞,供应商计划仅仅修复新手机中的错误,并不会将补丁推送到之前版本的手机。作为一种解决办法,他们计划关闭受影响的LG手机的“自动更新应用程序”功能。

        Search-Lab实验室的研究员伊姆雷·拉德在电子邮件中提到:“由于智能手机厂商需要运营商的批准来为每一个应用程序更新,在这种情况下,许多LG的产品都会受到影响;因此LG做了一个商业上的决定,他们不为大多数客户进行修复,至少暂时是这样的。”

        LG一方表示,他们正在进一步调查该报告的细节。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
AuRora17
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66