Recentemente è stata scoperta una falla di sicurezza in molti dei dispositivi della compagnia sudcoreana LG. Si tratta di un difetto che colpisce la tastiera degli smartphone. Questo permetterebbe l’esecuzione di un codice da remoto. La cosa positiva, è che sono subito corsi al riparo rilasciando insieme alla patch di maggio, il modo per risolvere tutto, ma c’è un problema.
La patch è destinata solo agli ultimi smartphone principali della serie G, ovvero il G5 e G6. Oltre a questi anche a quelli della serie V, serie Q e serie X. Il fatto che, per esempio, il G4 o la mancata specifica delle altre serie, sottolinea che non tutti riceveranno l’aggiustamento, soprattutto quelli di fascia più bassa, come sempre.
Il problema più da vicino
Per sfruttarla, i malintenzionati possono usare a loro vantaggio i pacchetti linguistici e della relativa insicurezza del protocollo HTTP che tra l’altro viene utilizzato per consegnare i pacchetti sopracitati e gli aggiornamenti della tastiera. La connessione può essere facilmente dirottata. Questo permetterebbe agli aggressori di alimentare lo smartphone con un falso aggiornamento basato su un codice corrotto dannoso.
Il software della tastiera, non controlla il pacchetto per rilevare eventuali file e consente l’esecuzione ogni volta. Il problema arriva quando al pacchetto linguistico compromesso vengono dati i privilegi dell’applicazione nativa a livello di sistema, può ancora accedere ad alcuni file di sistema ed eseguire una piccola serie di comandi preprogrammati. Se tale elenco viene intaccato, un qualsiasi hacker potrebbe aprirsi un canale per scaricare un software ancora più dannoso.
Come già detto, la patch risolve tale problema, ma anche altri tra cui altre falle di sicurezza di Android e di Qualcomm.