Una delle cose belle, almeno potenzialmente, dei telefoni Android è che i produttori possono metterci del loro e personalizzare le interfacce o l'hardware per darci funzioni particolari.
Purtroppo, questa libertà si sta traducendo in un'arma a doppio taglio in quanto sembra proprio che sia difficilissimo creare del software senza infilarci delle vulnerabilità.
Dopo il turno di Samsung, un paio di settimane fa, è arrivato quello di LG che ha in tutti i suoi dispositivi un bug fastidioso, curiosamente simile a quello del concorrente, che mette a repentaglio la sicurezza dei dispositivi.
Anche in questo caso, infatti, il problema si trova nella procedura di aggiornamento del software proprietario che LG fornisce precaricato nei telefoni.Queste app e servizi non sono disponibili sul Play Store, ma usano un server dell'azienda coreana per ricevere gli aggiornamenti (raggiungibile all'url www.lgcpm.com)
L'app che gestisce lo scaricamento dei file incorpora alcune misure di sicurezza per evitare di essere intercettata, ma non tutto è stato progettato per bene. Sebbene l'url di riferimento del server comunichi tramite HTTPS, infatti, il telefono non controlla che quanto arriva sul dispositivo contenga un certificato di autenticità valido e quindi si espone al rischio che qualcuno invii software malevolo sul telefono usando un attacco di tipo "man in the middle".
Sì, lo sappiamo: vi ricorda qualcosa. Infatti è strano che due case così grandi abbiano commesso un errore così simile, ma evidentemente i tecnici di LG si sono lasciati trarre in inganno dalla convinzione che bastasse criptare la comunicazione per essere al sicuro.
Va precisato che, come nel caso di Samsung, anche questo bug non è semplice da sfruttare, ma espone il possessore del dispositivo ad attacchi mirati.
Inoltre, il vero problema risiede nel fatto che la funzione che gestisce l'aggiornamento non prevede la possibilità di scaricare un aggiornamento per sé. Questo vuol dire che un eventuale fix dovrebbe passare dagli operatori telefonici, che sappiamo quanto siano poco collaborativi in tal senso.
Infatti, LG ha dichiarato che rimedierà all'errore nei nuovi dispositivi, ma non può fare nulla per quelli già sul mercato e che l'unica soluzione al problema è quella di disabilitare gli aggiornamenti automatici ed effettuarli "a mano" quando si è certi di esser collegati a una rete sicura.