Čak 91.000 LG TV-a suočeno je s rizikom od hakerskih napada osim ako ne primjene upravo objavljeno sigurnosno ažuriranje koje krpa četiri kritične ranjivosti otkrivene krajem prošle godine.
Ranjivosti su pronađene u četiri modela LG TV-a koji zajedno čine nešto više od 88.000 jedinica diljem svijeta, prema rezultatima koje je vratila tražilica Shodan za uređaje povezane s internetom. Velika većina tih jedinica nalazi se u Južnoj Koreji, a slijede Hong Kong, SAD, Švedska i Finska. Modeli su:
LG43UM7000PLA s webOS-om 4.9.7 – 5.30.40
OLED55CXPUA s webOS-om 5.5.0 – 04.50.51
OLED48C1PUB s webOS-om 6.3.3-442 (kisscurl-kinglake) – 03.36.50
OLED55A23LA s webOS-om 7.3.1-43 (mullet-mebin) – 03.33.85
Od srijede ažuriranja su dostupna putem izbornika postavki ovih uređaja.
Prema Bitdefenderu — sigurnosnoj tvrtki koja je otkrila ranjivosti — zlonamjerni hakeri ih mogu iskoristiti za dobivanje root pristupa uređajima i ubacivanje naredbi koje se izvode na razini OS-a. Ranjivosti, koje utječu na interne usluge koje korisnicima omogućuju da kontroliraju svoje uređaje pomoću svojih telefona, omogućuju napadačima da zaobiđu mjere provjere autentičnosti osmišljene kako bi se osiguralo da samo ovlašteni uređaji mogu koristiti te mogućnosti.
“Ove nam ranjivosti omogućuju dobivanje root pristupa na TV-u nakon zaobilaženja mehanizma autorizacije”, napisali su istraživači Bitdefendera u utorak . “Iako je ranjiva usluga namijenjena samo za pristup LAN-u, Shodan, tražilica za uređaje povezane s internetom, identificirala je preko 91.000 uređaja koji ovu uslugu izlažu internetu.”
Ključna ranjivost koja čini ove prijetnje mogućima nalazi se u usluzi koja omogućuje kontrolu televizora pomoću LG-eve aplikacije za pametne telefone ThinkQ kada je povezan na istu lokalnu mrežu. Usluga je osmišljena tako da od korisnika zahtijeva unos PIN koda za dokazivanje autorizacije, no pogreška omogućuje nekome da preskoči ovaj korak provjere i postane privilegirani korisnik. Ova se ranjivost prati kao CVE-2023-6317 .
Nakon što napadači steknu ovu razinu kontrole, mogu nastaviti iskorištavati tri druge ranjivosti, konkretno:
CVE-2023-6318 , koji napadačima omogućuje podizanje pristupa na root
CVE-2023-6319 , koji omogućuje ubacivanje OS naredbi manipuliranjem bibliotekom za prikazivanje glazbenih tekstova
CVE-2023-6320 , koji napadaču omogućuje ubacivanje autentificiranih naredbi manipuliranjem sučeljem aplikacije com.webos.service.connectionmanager/tv/setVlanStaticAddress.
Prema LG stranicama za podršku, i telefon i TV moraju biti spojeni na istu mrežu da bi aplikacija ThinkQ radila. Predstavnik Bitdefendera potvrdio je e-poštom da je za iskorištavanje ranjivosti potreban lokalni pristup, ali je napomenuo da se nakon kompromitacije setovima od tada može upravljati daljinski.
U svakom slučaju, ranjivosti su dovoljno ozbiljne da zahtijevaju zakrpu budući da bi netko s neovlaštenim pristupom TV-u potencijalno mogao pristupiti povezanim plaćenim računima, pratiti navike gledanja, instalirati aplikacije ili eventualno prijaviti uređaje u botnet. Nije jasno zašto se toliko LG TV-a pojavljuje u Shodan rezultatima. Rijetko postoji legitiman razlog za izlaganje većine uređaja Interneta stvari internetu, posebice televizora. Umjesto toga, trebali bi biti zatvoreni iza usmjerivača tako da nikada nisu vidljivi vanjskom svijetu.
Iako su mnogi setovi konfigurirani za automatsku instalaciju ažuriranja, vrijedi provjeriti postavke firmvera kako biste bili sigurni da je instalirana najnovija verzija. Precizne upute razlikuju se od modela do modela, ali općenito uključuju navigaciju do: Postavke > Sve postavke > Podrška, a zatim odabir Ažuriranja softvera, a zatim odabir Provjeri ažuriranja. Ako je ažuriranje dostupno, odaberite Preuzmi i instaliraj.
