In molti dispositivi LG è stata scoperta una vulnerabilità piuttosto importante che consente agli aggressori di utilizzare un difetto nella tastiera di serie per eseguire codice arbitrario da remoto; in tal senso, sembra che LG abbia ora applicato una correzione per tale vulnerabilità ed essa sarà nella patch di sicurezza Android di maggio.
Vale la pena notare che la patch arriverà solo su LG G5 e G6, i device della serie V, serie Q e serie X. Ciò significa che saranno esclusi un certo numero di dispositivi LG low budget e device lanciati prima della serie G5.
LG risolve la vulnerabilità legata alla tastiera
Il problema di sicurezza in questione si avvantaggia dei permessi che la tastiera dà ai pacchetti linguistici, e della relativa insicurezza del protocollo HTTP, ancora utilizzata per installare i language pack e gli aggiornamenti della tastiera LG. La connessione può essere facilmente dirottata, il che significa che gli aggressori possono iniettare nel dispositivo un falso aggiornamento o pacchetto con codice dannoso.
La tastiera non controlla il pacchetto per identificare malware o in generale codici malevoli, consentendo dunque di eseguire il tutto. Il problema si aggrava ancor di più quando quando al pacchetto linguistico compromesso vengono dati privilegi a livello di sistema.
Anche all’interno della sandbox del programma della tastiera, può ancora accedere ad alcuni file di sistema ed eseguire una piccola serie di comandi preprogrammati.
Potrebbe interessarti: LG G7: focus sul nuovo top di gamma (male, molto male)
La patch di sicurezza corregge quando spiegato fino ad ora, ed anche un gran numero di potenziali problemi di sicurezza relativi al core Android e ai dispositivi Qualcomm – grazie al contributo di Google.