Sicherheitsloch oder Hintertür? LG Phones bleiben anfällig

LG weigert sich offenbar, ein von ungarischen Sicherheitsfachleuten entdecktes, klaffendes Sicherheitsloch in seinen Smartphones zu flicken. Nur die neuesten Modelle sollen in den Genuss kommen, ein Patch zu erhalten; ältere Phones mit Android 4.4 und darunter will man dagegen wohl links liegen lassen.

Wenn LG seinen Kunden, in dem Fall den Besitzern eines Smartphones aus ihrem Hause, ein Update zur Verfügung stellt, wird dieses normalerweise automatisch eingebunden und lädt zu ladende Programmteile automatisch herunter. Das ist, da mit TLS verschlüsselt, auch relativ sicher. Dumm nur, dass die aktuellen Versionen des Update Manager nicht verifizieren, mit welchem Server sie da gerade kommunizieren und im zweiten Schritt auch nicht fragen, wessen Software da gerade installiert wird.

Die angeblich so wichtige Frage der „vertrauenswürdigen Quellen“ wird somit einfach übergangen und man kann sich fragen, warum LG das nicht ändern will. So, wie sich der Fehler darstellt, scheint es sich doch nur um ein paar einfache Einträge zu handeln, die sich ja an den neueren Modellen auch umsetzen lassen.

Der Update Manager von LG lässt sich zwar so einstellen, dass nur aus dem angedockten WLAN heruntergeladen werden kann, aber damit sind noch immer Attacken innerhalb dieses Netzes möglich. Hierzu gehört bei einem WLAN mit Internetanschluss dann aber auch der Provider, deren Angestellte sich mit Schadsoftware an dem Telefon vergreifen könnten, oder eben Geheimdienste und Konsorten.

Und hier fragt sich dann natürlich sofort jeder, warum denn das Loch nicht gestopft wird, wenn es doch so einfach ginge und ob die Fähigkeiten der Geheimdienste damit in Zusammenhang stehen. Es gibt zwar viel Kritik an den Nutzern, weil viele auch „nach Snowden“ ihre Rechner noch so behandeln, als sei nichts gewesen. Dass sich zukünftig die Auswahlkriterien aber dahingehend verschieben würden, dass die Anwender eben von bekannt „löchrigen“ Produkten Abstand nehmen, hatten die meisten Kommentatoren dabei wohl nicht auf dem Schirm.

Sollte LG sich also dauerhaft weiter weigern, könnten sie ihre Quittung dafür irgendwann einmal bekommen. Dafür müsste es aber vermutlich erst einmal reihenweise Meldungen von befallenen LG Phones geben, was widerum nicht sehr wahrscheinlich ist.