Il team di ricerca di Check Point Software Technologies ha rilevato due nuove vulnerabilità presenti nella tastiera predefinita di tutti gli smartphone LG. A seguito dei test, effettuati sui modelli di punta dell’azienda: LG G4, LG G5 e LG G6, Check Point ha informato LG, che ha rilasciato una patch di aggiornamento, inclusa all’interno dell’aggiornamento di sicurezza di maggio.
Entrambe le vulnerabilità potrebbero essere state utilizzate per eseguire in remoto del codice con privilegi elevati sui device LG, manipolando il processo di aggiornamento della tastiera, agire come keylogger e quindi compromettere la privacy dell’utente, risalendo ai dettagli di autenticazione. La prima vulnerabilità era legata all’uso di connessioni non sicure per processi sensibili, mentre nel caso della seconda si trattava di un difetto di validazione del file system di LG.
La prima vulnerabilità
Le tastiere LG supportano la scrittura a mano in diverse lingue; la lingua inglese è preinstallata di default, mentre le altre possono essere definite dall’utente. Quando si installa una nuova lingua, o aggiornamenti per una preesistente, il device contatta un server codificato da cui ottiene i file richiesti. Tuttavia, il download è effettuato attraverso una connessione HTTP non sicura, esponendo il device stesso ad attacchi del tipo Man-in-The-Middle e ad altre manipolazioni che possono indurlo a scaricare file dannosi al posto di quelli previsti.
Ciascun pacchetto è contenuto, all’interno dell’applicazione keyboard, in una crtella separata: /data/data/com.lge.ime/VODB/<database version>/<language ID>. Ogni pacchetto è costituito da una serie di file collegati a un modello di machine learning, e da un file.txt di metadati. Quest’ultimo contiene una lista di file ulteriori, collegati al pacchetto corrente. Ciascun file è presentato con il suo file name, l’hash md5, e la dimensione.
Il processo di aggiornamento. Il processo di aggiornamento, così come il download di un nuovo pacchetto, consiste di due fasi logiche:
- Download del file di metadati files.txt;
- Analisi del file e download di tutti i file in esso elencati.
Ciascun download, tuttavia, è effettuato attraverso una connessione HTTP non sicura.
Essendo scaricato attraverso una connessione non sicura, ciascun file di metadati files.txt può essere alterato da una proxy Man-in-the-middle. L’elenco di file contenuti in files.txt può essere arricchito con file malevoli che vengono poi scaricati attraverso una proxy MITM.
La seconda vulnerabilità
La posizione su disco dei file scaricati può a sua volta essere controllata attraverso una proxy MITM. Tale posizione dipende dal nome del file, come indicato nei metadati. Attraverso un meccanismo path traversal, la posizione su disco può essere modificata e quindi il file posizionato in qualsiasi cartella all’interno del sandbox della tastiera.
A questo punto, la tastiera LG assume che il file lib nativo possa essere parte del pacchetto da installare o aggiornare, concedendo quindi i permessi di esecuzione a tutti i file scaricati che abbiano estensione .so.
Una volta che il file malevolo è inserito nel file system, i criminali devono forzare l’applicazione a caricarlo. Un modo per farlo è quello di etichettare il file stesso come “input method extension library” nel file di configurazione della tastiera. In questo modo il file Engine.properties può anche essere sovrascritto da uno fasullo.
L’applicazione, quindi, carica all’avvio le librerie indicate nel file di configurazione Engine.properties: il file malevolo viene così caricato al riavvio, caricando a sua volta la libreria malevola. Questo è l’obiettivo finale dell’attacco
Cosa fare?
La patch di aggiornamento è disponibile all’interno dell’aggiornamento di sicurezza inviato da LG la sera del 7 maggio, ed è classificato con un livello di importanza “alto”. Non è ancora chiaro tuttavia, se questo aggiornamento verrà scaricato automaticamente.
LG invita gli utenti ad aggiornare i propri sistemi operativi con particolare attenzione ai seguenti modelli: serie G (G5, G6), serie V (Q10, Q10, V8), serie X (X300, X400, X500).
