Хакеры в вашей гостиной: 90 000 телевизоров LG стали новой мишенью для взлома

Хакеры в вашей гостиной: 90 000 телевизоров LG стали новой мишенью для взлома

Сразу несколько уязвимостей в WebOS развязывают руки киберпреступникам.

image

Исследователи из Bitdefender обнаружили четыре уязвимости в нескольких версиях WebOS — операционной системы, используемой в умных телевизорах LG. Эти недостатки позволяют злоумышленникам получить несанкционированный доступ и контроль над устройствами на разных уровнях, включая обход авторизации, повышение привилегий и инъекцию команд.

Уязвимости основаны на возможности создавать произвольные аккаунты на устройстве с помощью сервиса, работающего через порты 3000/3001, предназначенные для подключения смартфонов при помощи PIN-кода. Проведённые интернет-сканы выявили 91 000 устройств, доступных онлайн и потенциально подверженных этим уязвимостям.

Итак, среди выявленных недостатков безопасности:

  • CVE-2023-6317: обход механизма авторизации телевизора, позволяющий добавить дополнительного пользователя без надлежащей авторизации (оценка CVSS 7.2);
  • CVE-2023-6318: повышение привилегий до уровня root после получения первоначального доступа (оценка CVSS 9.1);
  • CVE-2023-6319: внедрение команд операционной системы путём манипулирования библиотекой, отвечающей за отображение текстов музыкальных произведений (оценка CVSS 9.1);
  • CVE-2023-6320: аутентифицированное выполнение команд от имени пользователя dbus с привилегиями, схожими с root (оценка CVSS 9.1).

Выявленным уязвимостям подвержены конкретные версии операционной системы WebOS на следующих моделях телевизоров:

Bitdefender сообщил об этих недостатках в LG 1 ноября 2023 года, однако лишь через четыре с лишним месяца, 22 марта 2024 года, компания наконец выпустила соответствующие обновления безопасности.

Несмотря на то, что телевизоры LG уведомляют пользователей о важных обновлениях WebOS, их можно откладывать на неопределённый срок. Поэтому специалисты рекомендуют немедленно применить все доступные обновления через меню настроек телевизора.

Хотя телевизоры не являются критически важными в плане цифровой безопасности, возможность удалённого выполнения команд остаётся значительной угрозой, поскольку это может дать злоумышленникам точку для дальнейших атак на другие устройства в сети.

Кроме того, злоумышленники могут похитить учётные данные от стриминговых сервисов или других служб, которые пользователь ввёл в операционную систему.

Также уязвимые телевизоры могут быть использованы для распространения вредоносного ПО, участия в DDoS-атаках или для криптовалютного майнинга, что может напрямую сказаться на их производительности, а при долгой работе на износ, и на долговечности этой работы.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение