צ'ק-פוינט: פרצת אבטחה חמורה במכשירי LG

חברת אבטחת המידע הישראלית צ'ק-פוינט חשפה כשל אבטחתי חמור בחלק גדול מהסמארטפונים של חברת LG. הכשל, שכבר אותר ותוקן על-ידי LG, מאפשר לגורם חיצוני לחדור אל המכשיר ולשתול בסמארטפון קבצים ככל העולה על רוחו.

אמש החלה LG לשחרר טלאי אבטחה חדש למכשירים הרלוונטיים ברחבי העולם. מדובר במכשירי G4 ,G5, G6, V10, V20, V30, בדגמי Q6 ו-Q8, וכן X300, X400, X500, X cam.  

עובד צ'ק-פוינט, החוקר סלבה מקויב, שחשף את הפרצות, כותב בפוסט שהעלה בבלוג הרשמי של החברה, כי הן "נבדקו בצורה פעילה על דגמי מכשירי הדגל הקודמים - G4, G5 ו-G6". דגם G7 החדש, שהשיקה LG רק בשבוע שעבר, טרם הופיע בשווקים. מקור הכשל הוא במקלדת המיוחדת המשולבת במכשירים, שיודעת לזהות כתב יד רגיל וממירה אותו לטקסט דיגיטלי. מתברר, כי בעדכון שהוציאה LG למקלדת היא השתמשה בפרוטוקול HTTP רגיל ולא מאובטח, מה שאיפשר את החדירה למכשירים: כשהעידכון התבצע, הוא יצר קשר עם שרת חיצוני באמצעות קישור לא מאובטח.

(צילום: גיא לוי)

עם גילוי הפרצה פנתה צ'ק-פוינט לחברת LG וזו הוציאה עדכון מיידי עם תיקון לכל המכשירים הכוללים את המקלדת. עם זאת, בעלי מכשירים ישנים במיוחד של LG, אשר כבר אינם זוכים לעדכוני אבטחה שוטפים, עלולים להישאר חשופים לבעיה אם המשתמש יוריד אליהם קובץ שפה חדש, הכולל מקלדת עם זיהוי כתב יד, או שינסה לעדכן את המקלדת הקיימת.

משרדי צ'ק פוינט בתל אביב(צילום: צ'ק פוינט)

בכל מקרה, ההמלצה לכל משתמשי הסמארטפונים של חברת LG היא לדאוג מיידית לעדכן את מכשיריהם. העידכון שהוציאה החברה אתמול יגיע בהדרגה לכל המכשירים הרלוונטיים. במכשירים שעדיין לא עודכנו מומלץ שלא להתקין בינתיים שפה חדשה ולא לעדכן את מקלדת זיהוי כתב היד, עד לקבלת העדכון האחרון.

זו לא הפעם הראשונה שחוקרי צ'ק-פוינט מגלים פירצת אבטחה במכשירי LG. באוקטובר אשתקד חשפה חברת האבטחה הישראלית פירצה שזכתה לכינוי HomeHack וחשפה מיליוני משתמשים במכשירי הבית החכמים של LG לסכנת השתלטות של זרים. הפירצה איפשרה להתחבר מרחוק אל ה"ענן" בו אוחסן המידע על המכשירים מסדרת SmartThinQ, להשתלט על חשבונות אישיים, ולהשיג שליטה מרחוק על שואבי אבק, מצלמות וידיאו, מקררים, תנורים, מדיחי כלים, מכונות כביסה, מייבשים ומזגנים. גם אז הועבר דיווח מהיר לחברה הקוריאנית והפירצה תוקנה במהירות.

מחברת LG בישראל לא נמסרה תגובה.