g4 (צילום: אתר החברה)
"צ'ק - פוינט" חברת אבטחת המידע הישראלית חשפה פרצת אבטחה חמורה בחלק גדול מהסמארטפונים של חברת LG הקוריאנית. הכשל, שכבר התגלה ותוקן על-ידי החברה, מאפשר לגורם חיצוני לחדור אל המכשיר ולשתול בסמארטפון קבצים שונים כאוות נפשו, כך על פי הדיווח ב-ynet.
אתמול (רביעי) החלה LG לשחרר טלאי אבטחה חדש למכשירים הרלוונטיים ברחבי העולם. מדובר במכשירי G4 ,G5, G6, V10, V20, V30, בדגמי Q6 ו-Q8, וכן X300, X400, X500, X cam.
החוקר סלבה מקויב, שעובד בצ'ק פוינט ושחשף את הפרצות, כתב בפוסט שהעלה בבלוג הרשמי של החברה, כי הן "נבדקו בצורה פעילה על דגמי מכשירי הדגל הקודמים - G4, G5 ו-G6". דגם G7 החדש, שהשיקה LG רק בשבוע שעבר, טרם הופיע בשווקים. מקור הכשל הוא במקלדת המיוחדת המשולבת במכשירים, שיודעת לזהות כתב יד רגיל וממירה אותו לטקסט דיגיטלי. מתברר, כי בעדכון שהוציאה LG למקלדת היא השתמשה בפרוטוקול HTTP רגיל ולא מאובטח, מה שאפשר את החדירה למכשירים: כשהעדכון התבצע, הוא יצר קשר עם שרת חיצוני באמצעות קישור לא מאובטח.
עם גילוי הפרצה פנתה צ'ק-פוינט לחברת LG וזו הוציאה עדכון מיידי עם תיקון לכל המכשירים הכוללים את המקלדת. עם זאת, בעלי מכשירים ישנים במיוחד של LG, אשר כבר אינם זוכים לעדכוני אבטחה שוטפים, עלולים להישאר חשופים לבעיה אם המשתמש יוריד אליהם קובץ שפה חדש, הכולל מקלדת עם זיהוי כתב יד, או שינסה לעדכן את המקלדת הקיימת.
סלבה ממליץ למשתמשי הסמארטפונים של חברת LG לדאוג באופן מיידי לעדכן את מכשיריהם. העידכון שהוציאה החברה אתמול יגיע בהדרגה לכל המכשירים הרלוונטיים. במכשירים שעדיין לא עודכנו מומלץ שלא להתקין בינתיים שפה חדשה ולא לעדכן את מקלדת זיהוי כתב היד, עד לקבלת העדכון האחרון.
הפעם הראשונה שחוקרי צ'ק-פוינט מגלים פירצת אבטחה במכשירי LG הייתה באוקטובר אשתקד, אז חשפה החברה פרצה שזכתה לכינוי HomeHack וחשפה מיליוני משתמשים במכשירי הבית החכמים של LG לסכנת השתלטות של זרים. הפרצה אפשרה להתחבר מרחוק אל ה"ענן" בו אוחסן המידע על המכשירים מסדרת SmartThinQ, להשתלט על חשבונות אישיים, ולהשיג שליטה מרחוק על כל הבית החכם שכלל שואבי אבק, מצלמות וידיאו, מקררים, תנורים, מדיחי כלים, מכונות כביסה, מייבשים ומזגנים. גם אז הועבר דיווח מהיר לחברה הקוריאנית והפרצה תוקנה במהירות.
מחברת LG בישראל לא נמסרה תגובה.