2024/04/09

Smart TVs LG com WebOS estão vulneráveis na net

Investigadores de segurança alertam para mais de 90 mil smart TVs LG com WebOS que estão vulneráveis a ataques a partir da internet.

As Smart TVs são autênticos computadores que, tal como outros dispositivos, podem ter vulnerabilidades que permitem que atacantes assumam o seu controlo. É precisamente isso que acontece com algumas smart TVs LG com determinadas versões do WebOS.

Estes televisores tem sistemas que permitem emparelhar smartphones de modo a que enviem vídeos para serem exibidos no ecrã, mas existem vulnerabilidades que permitem que atacantes consigam obter acesso ao televisor sem a devida autorização, e de seguida obterem acesso root e ficarem com controlo total do dispositivo. Além de poderem usar a smart TV como um ponto de ataque de uma rede botnet, também podem fazer coisas como roubar as credenciais de acesso a serviços de streaming que tenham adicionado na TV.
As vulnerabilidades em questão são:
  • CVE-2023-6317 permite que os atacantes ignorem o mecanismo de autorização da TV ao explorar uma configuração de variável, possibilitando adicionar um utilizador ao aparelho de TV sem a devida autorização.
  • CVE-2023-6318 é uma vulnerabilidade de elevação de privilégios que permite aos atacantes obter acesso root após o acesso não autorizado inicial fornecido pelo CVE-2023-6317.
  • CVE-2023-6319 envolve injecção de comandos no sistema operativo através da manipulação de uma biblioteca responsável por exibir letras de música, permitindo a execução de comandos arbitrários.
  • CVE-2023-6320 permite injecção de comandos autenticado ao explorar o endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress, possibilitando a execução de comandos como utilizador dbus, que possui permissões semelhantes ao utilizador root.

Os modelos afectados são:
  • LG43UM7000PLA (webOS 4.9.7 – 5.30.40)
  • OLED55CXPUA (webOS 04.50.51 – 5.5.0)
  • OLED48C1PUB (webOS 0.36.50 – 6.3.3-442)
  • OLED55A23LA (webOS 03.33.85 – 7.3.1-43)
As vulnerabilidades foram reportadas à LG em Novembro de 2023, mas a LG só lançou as correcções em a 22 de Março de 2024, tendo demorado uns excessivos quatro meses a fazê-lo. Adicionalmente, apesar dos televisores notificarem os utilizadores de que estão disponíveis actualizações, os utilizadores podem ignorar o alerta e permanecer com o seu televisor vulnerável.

Quem tiver algum destes modelos deverá visitar Settings > Support > Software Update e verificar se existe uma actualização. Podem também escolher a opção para instalar as actualizações automaticamente nessa mesma secção.

Publicado por Carlos Martins às 21:00


2 comentários:

  1. backonline10/4/24 00:26

    Faltou dizer que é necessário o atacante estar dentro da rede privada para poder usar essas falhas de segurança, nenhuma dessa falhas estão expostas para a net.

    ResponderEliminar
    Respostas
    1. Carlos Martins10/4/24 14:32

      Não, o problema é mesmo esse:
      "although the vulnerable LG WebOS service is supposed to be used only in local area networks (LAN) settings, Shodan internet scans show 91,000 exposed devices that are potentially vulnerable to the flaws."

      Eliminar

Subscrever: Enviar feedback (Atom)