LG, vulnerabilità di sicurezza attiva da 7 anni finalmente corretta

LG, vulnerabilità di sicurezza attiva da 7 anni finalmente corretta

A inizio maggio LG ha rilasciato un aggiornamento software che corregge una vulnerabilità presente sui bootloader dei propri dispositivi da sette anni

di pubblicata il , alle 12:41 nel canale Telefonia
LG
 

A maggio LG ha rilasciato un aggiornamento di sicurezza risolvendo una vulnerabilità che ha coinvolto diversi modelli di smartphone, nota come CVE-2020-12753. La falla è stata presente su moltissimi smartphone LG prodotti e venduti negli ultimi sette anni, all'interno del bootloader (in breve il primo codice che viene eseguito all'accensione del dispositivo) fornito con gli stessi. 

L'entità della vulnerabilità si può capire facilmente se si pensa che il bootloader ha anche lo scopo di garantire che il firmware dello smartphone e il sistema operativo non siano stati compromessi e si avviino in sicurezza. A scoprire la falla è stato Max Thomas lo scorso mese di marzo, che ha dichiarato che era presente anche nel bootloader di LG Nexus 5. Il ricercatore di sicurezza ha rilasciato la documentazione tecnica nei giorni scorsi, dove si legge che il bug era presente in un pacchetto grafico del bootloader consentendo ad un eventuale aggressore di eseguire codice malevolo insieme alla riproduzione dell'interfaccia grafica dello stesso bootloader.

L'exploit poteva avvenire in due casi: quando la batteria del dispositivo si scaricava, o quando veniva attivata la modalità di download del bootloader. L'attacco, inoltre, doveva essere eseguito con una sincronizzazione perfetta perché andasse in porto: prima del fix l'aggressore doveva cronometrare l'intera procedura e solo rispettando i tempi avrebbe potuto eseguire il proprio codice prendendo il controllo del bootloader e dell'intero dispositivo. È chiaro che per sfruttare la falla - critica perché garantiva accesso completo al dispositivo - l'aggressore avrebbe dovuto avere accesso fisico al dispositivo (quindi era applicabile su device smarriti o rubati).

I modelli di smartphone LG vulnerabili usano il chip Qualcomm Secure Execution Environment (QSEE) su firmware di EL1 o EL3 e tutti i dispositivi LG con Android 7.2 e successivi sono stati vulnerabili all'exploit. La patch di LG per mitigare il difetto è stata rilasciata all'inizio di maggio.

I migliori sconti su Amazon oggi
-22%

Ring Battery Video Doorbell Pro di Amazon | Videocitofono senza fili, video a figura intera, rilevazione di movimento 3D, visione notturna a colori, wi-fi | Ring Home: 30 gg. prova gratuita

229.99 179.99 Compra ora
-19%

Apple iPhone 16 Pro 128 GB: Telefono 5G con Controllo fotocamera, Dolby Vision 4K a 120 fps e un’autonomia senza precedenti. Compatibile con AirPods; Titanio naturale

1239.00 999.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^