Per colpa di una falla nella sicurezza del suo centro aggiornamenti, LG mette a rischio tutti i suoi smartphone Android .
Tutti i produttori di device Android, tranne qualche rara eccezione, tendono a fornire delle UI (interfacce utenti) personalizzate per differenziarsi dagli altri.
Gli aggiornamenti delle UI vengono di norma rilasciati direttamente sul Play Store ma, LG preferisce sfruttare il suo centro aggiornamenti anche per questa operazione.
Non ci sarebbe nessun problema se non fosse che, sebbene la connessione al server per ricevere gli aggiornamenti sia di tipo HTTPS, i certificati SSL non vengono verificati. Per colpa di questa falla, degli hacker potrebbero potenzialmente intercettare la comunicazione e sfruttare la possibilità di installare dei malware all’interno dei device senza che l’utente se ne accorga. Le applicazioni malevole apparirebbero infatti come un generico aggiornamento di sistema.
Non è tutto, sempre tramite questa falla è possibile avere accesso a praticamente tutte le autorizzazioni del dispositivo. L’unica eccezione riguarda le operazioni che necessitano l’autorizzazione di sistema.
La falla in realtà è stata scoperta dal sito Search-Lab già a novembre 2014. Quando il problema è stato comunicato ad LG, l’azienda ha garantito che con l’imminente roll-out di Android Lollipop avrebbe risolto ogni problema. In questo modo sarebbero stati esclusi tutti i dispositivi che non avrebbero ricevuto l’aggiornamento.
Ad oggi, in realtà, non ci sono dispositivi esclusi perché LG non ha fatto proprio nulla per risolvere il problema e quindi tutti i device sono potenzialmente a rischio.
L’unico accorgimento al momento possibile per tutelarsi è quello di collegarsi solo sotto reti Wifi sicure per eseguire determinate operazioni, disattivando inoltre gli aggiornamenti automatici.
Sono ormai 7 mesi che il problema c’è e non è stato risolto, quanto tempo ancora dovrà passare prima che LG tuteli i suoi utenti? E’ troppo preoccupata per le vendite del suo ultimo top di gamma LG G4?