dodano: 2024-04-14 22:10 | aktualizacja:
2024-04-14 23:17
autor: HP |
źródło: Bitdefender/Ars Technica/Shodan
Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
Potwierdzono, że luki dotyczyły wszystkich modeli telewizorów LG z określonymi wersjami webOS.
Problem dotyczy całej linii telewizorów LG począwszy od 2019 roku.
Luki w webOS firmy LG, które umożliwiają atakującym przejęcie kontroli nad urządzeniem, dotyczą zarówno modeli OLED, jak i LCD.
Należy dodać, że firma LG wydała nowe oprogramowanie sprzętowe eliminujące zidentyfikowane luki.
Jak wynika z raportu Ars Technica, w listopadzie 2023 roku Bitdefender odkrył poważne luki w zabezpieczeniach związane z błędami w interakcji telewizorów z aplikacją na smartfony LG ThinQ i ujawniono je teraz, gdy LG przygotowało już poprawki.
- Zidentyfikowaliśmy kilka problemów wpływających na wersje WebOS od 4 do 7 działające na telewizorach LG. Luki te umożliwiają uzyskanie dostępu root do telewizora poprzez ominięcie mechanizmu autoryzacji. Chociaż podatna na ataki usługa jest przeznaczona wyłącznie do dostępu do sieci lokalnej, Shodan, wyszukiwarka urządzeń podłączonych do Internetu, zidentyfikowała ponad 91 000 urządzeń, które udostępniają tę usługę w Internecie
– oznajmił BitDefender w komunikacie prasowym.
Jakie jest niebezpieczeństwo?
Na urządzeniach, które nie są aktualizowane na czas, hakerzy mogą ominąć uwierzytelnianie w LG webOS w wersjach od 4 do 7 i dodać się jako nowy użytkownik. Następnie mogą rozszerzyć swoje uprawnienia o kontrolę root. Wykorzystując luki, pod kontrolą zespołu mogą zainfekować zaatakowaną sieć domową wszelkiego rodzaju złośliwym oprogramowaniem, takim jak narzędzia do wycieku informacji lub wyłudzenia. W przypadku luki CVE-2023-6319 atakujący dokonuje manipulacji biblioteką odpowiedzialną za wyświetlanie tekstów piosenek.
Których telewizorów LG dotyczy problem?
Według raportu dotkniętych jest ponad
91 tys. telewizorów LG, które mogą zostać przejęte przez hakerów w celu wykorzystania ich jako botnetu lub uzyskania dostępu do płatnych kont lub aplikacji.
Telewizory LG, których dotyczy problem, są zlokalizowane na całym świecie, w tym w Azji, Europie i obu Amerykach, i obejmują wiele generacji telewizorów LG OLED i LCD. Najwięcej jest ich w Korei Południowej (50 tys.), USA, Szwecji, Finlandii i na Łotwie, ale na liście jest także Polska (823!)
Zidentyfikowano następujące wersje systemu webOS:
- webOS 4.9.7 - 5.30.40 (modele LG od 2019 r.), działający na LG43UM7000PLA
- webOS 5.5.0 - 04.50.51 (modele LG od 2020 r.), działający na OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) - 36.03.50 (modele LG od 2021 r.), działa na OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) - 33.03.85 (modele LG od 2022 r.), działający na OLED55A23LA
Wszystkie modele telewizorów LG z tymi wersjami webOS mogą zostać zhakowane!
Harmonogram ujawnień:
1 listopada 2023 r.: ujawnienie problemu
15 listopada 2023 r.: LG potwierdza luki
14 grudnia 2023 r.: LG prosi o przedłużenie
22 marca 2024 r.: wydanie poprawki oprogramowania przez LG
9 kwietnia 2024 r.: publiczne udostępnienie raportu Bitdefender
Co zrobić i jak sobie poradzić?
Wystarczy zaktualizować lub odłączyć telewizor LG od Internetu
Trzeba zwrócić uwagę, że przez 10 lat firma LG odmawiała aktualizacji wersji webOS na swoich telewizorach, ale firma regularnie publikowała aktualizacje zabezpieczeń.
Wydaje się, że głównych problemów związanych z bezpieczeństwem można było prawdopodobnie uniknąć, gdyby firma LG udostępniła aktualizację wersji webOS, ponieważ
problemy te nie zostały wykryte w nowych wersjach webOS.
Firma LG wydała poprawki zabezpieczeń dla modeli, których dotyczy ten problem.
Wystarczy sprawdzić menu aktualizacji telewizora (w Ustawieniach -> Wsparcie) lub odwiedź stronę pomocy technicznej LG dla swojego kraju, gdzie aktualizacje oprogramowania sprzętowego można pobrać na dysk USB i zainstalować za pośrednictwem Złącze USB w telewizorze.
Alternatywnie możesz całkowicie odłączyć telewizor LG od sieci domowej i skorzystać z zewnętrznego odtwarzacza multimedialnego. Można nim sterować za pomocą pilota LG lub własnego pilota.
Więcej informacji na temat luk można znaleźć w komunikacie prasowym Bitdefender tutaj .
Materiał chroniony prawem
autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.