Luki w bezpieczeństwie telewizorów LG
Badacze z BitDefender odkryli luki w zabezpieczeniach telewizorów LG WebOS TV w wersjach od 4 do 7, które pozwoliły badaczom całkowicie przejąć kontrolę nad telewizorami, których dotyczyły, instalować złośliwe oprogramowanie i kraść dane.
„Chociaż podatna na ataki usługa jest przeznaczona wyłącznie do dostępu do sieci LAN, Shodan, wyszukiwarka urządzeń podłączonych do Internetu, zidentyfikowała ponad 91 000 urządzeń udostępniających tę usługę w Internecie” – twierdzą badacze.
Większość urządzeń, których dotyczy problem, nieco ponad 50 000, odkryto w Korei Południowej. Kolejnych 7500 uszkodzonych telewizorów LG odnaleziono w Hongkongu, 6800 w USA, 6300 w Szwecji i Finlandii oraz 3400 na Łotwie.
Jakie modele telewizorów są zagrożone?
Modele telewizorów, których to dotyczy, to:
- webOS 4.9.7-5.30.40 działający na LG43UM7000PLA
- webOS 5.5.0-04.50.51 działający na OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 36.03.50 działa na OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.3.85 działający na OLED55A23LA
Aby dowiedzieć się, z jakiej wersji systemu webOS korzysta Twój telewizor, przejdź do Ustawień, otwórz Ogólne, następnie „Informacje o telewizorze” i na koniec wybierz opcję „Wersja webOS TV”. Wykonując tę samą procedurę, zatrzymując się na informacjach o telewizorze, wyświetli się numer modelu telewizora.
Jedna z luk, oznaczona jako CVE-2023-6317, umożliwia atakującym ominięcie autoryzacji i skonfigurowanie dodatkowego użytkownika w telewizorze. Kolejny błąd, CVE-2023-6318, umożliwia atakującym wykorzystanie pierwszego błędu poprzez podniesienie swoich uprawnień na urządzeniu. Trzecia luka odkryta przez badaczy, CVE-2023-6319, umożliwia wprowadzanie poleceń do systemu operacyjnego poprzez „manipulowanie biblioteką odpowiedzialną za wyświetlanie tekstów muzycznych”.
Wreszcie, CVE-2023-6320 umożliwia atakującym wstrzykiwanie poleceń uwierzytelniających poprzez manipulowanie punktami końcowymi interfejsu programowania aplikacji (API). Bitdefender poinformował firmę LG o problemie na początku listopada 2023 r., a 22 marca 2024 r. firma wydała łatkę dla wszystkich luk. Badacze przedstawiają pełne podsumowanie techniczne i analizę ataków w technicznym podsumowaniu luk. Właścicielom telewizorów LG z dotkniętymi urządzeniami i wersjami systemu operacyjnego zaleca się sprawdzenie wersji systemu operacyjnego i aktualizację do najnowszej.
Co to jest webOS?
WebOS to oparty na systemie Linux system operacyjny należący do firmy LG i przeznaczony dla urządzeń inteligentnych, w szczególności telewizorów Smart TV. System operacyjny działa na telewizorach LG, a także na ograniczonej liczbie innych urządzeń LG, w tym na lodówkach, projektorach i urządzeniach Digital Signage. Ponadto kilku zewnętrznych dostawców licencjonuje obecnie system webOS od LG dla swoich telewizorów Smart TV, w tym RCA, Ayonz i Konka. System operacyjny wkracza także do branży motoryzacyjnej, gdzie jest używany w samochodowych systemach informacyjno-rozrywkowych.
WebOS zapewnia graficzny interfejs użytkownika (GUI), który umożliwia widzom dostęp do funkcji telewizora i kontrolowanie ich, podobnie jak systemy operacyjne takie jak Android lub iOS umożliwiają użytkownikom pracę ze smartfonami.
Interfejs graficzny systemu webOS zawiera panel główny, na którym użytkownicy mogą nawigować po aplikacjach, konfigurować ustawienia i łączyć się z kompatybilnymi urządzeniami. WebOS może także łączyć się bezpośrednio z Internetem, umożliwiając strumieniowe przesyłanie treści i dostęp do innych zasobów w chmurze. W rzeczywistości system operacyjny ma własną przeglądarkę umożliwiającą bezpośredni dostęp do zasobów sieciowych.
