Smart TVs LG com WebOS estão vulneráveis na net

By | 11/04/2024
0 Comment

Investigadores de segurança alertam para mais de 90 mil smart TVs LG com WebOS que estão vulneráveis a ataques a partir da internet.

As Smart TVs são autênticos computadores que, tal como outros dispositivos, podem ter vulnerabilidades que permitem que atacantes assumam o seu controlo. É precisamente isso que acontece com algumas smart TVs LG com determinadas versões do WebOS.Estes televisores tem sistemas que permitem emparelhar smartphones de modo a que enviem vídeos para serem exibidos no ecrã, mas existem vulnerabilidades que permitem que atacantes consigam obter acesso ao televisor sem a devida autorização, e de seguida obterem acesso root e ficarem com controlo total do dispositivo. Além de poderem usar a smart TV como um ponto de ataque de uma rede botnet, também podem fazer coisas como roubar as credenciais de acesso a serviços de streaming que tenham adicionado na TV.

As vulnerabilidades em questão são:

  • CVE-2023-6317 permite que os atacantes ignorem o mecanismo de autorização da TV ao explorar uma configuração de variável, possibilitando adicionar um utilizador ao aparelho de TV sem a devida autorização.
  • CVE-2023-6318 é uma vulnerabilidade de elevação de privilégios que permite aos atacantes obter acesso root após o acesso não autorizado inicial fornecido pelo CVE-2023-6317.
  • CVE-2023-6319 envolve injecção de comandos no sistema operativo através da manipulação de uma biblioteca responsável por exibir letras de música, permitindo a execução de comandos arbitrários.
  • CVE-2023-6320 permite injecção de comandos autenticado ao explorar o endpoint da API com.webos.service.connectionmanager/tv/setVlanStaticAddress, possibilitando a execução de comandos como utilizador dbus, que possui permissões semelhantes ao utilizador root.

Os modelos afectados são:

  • LG43UM7000PLA (webOS 4.9.7 – 5.30.40)
  • OLED55CXPUA (webOS 04.50.51 – 5.5.0)
  • OLED48C1PUB (webOS 0.36.50 – 6.3.3-442)
  • OLED55A23LA (webOS 03.33.85 – 7.3.1-43)

As vulnerabilidades foram reportadas à LG em Novembro de 2023, mas a LG só lançou as correcções em a 22 de Março de 2024, tendo demorado uns excessivos quatro meses a fazê-lo. Adicionalmente, apesar dos televisores notificarem os utilizadores de que estão disponíveis actualizações, os utilizadores podem ignorar o alerta e permanecer com o seu televisor vulnerável.

Quem tiver algum destes modelos deverá visitar Settings > Support > Software Update e verificar se existe uma actualização. Podem também escolher a opção para instalar as actualizações automaticamente nessa mesma secção.

(Ptnik)