Telewizory LG zagrożone. Można było przejąć nad nimi pełną kontrolę w prosty sposób
Posiadacie telewizory LG? Bitdefender odkrył istotne luki w systemie WebOS, pod którego kontrolą działają te urządzenia. Okazuje się, że możliwe było przejęcie kontroli nad sprzętami i to bez posiadania żadnych danych dostępowych.
Spis treści
Telewizory LG zagrożone
Przedsiębiorstwo Bitdefender znane przede wszystkim z tworzenia oprogramowania antywirusowego opisało serię podatności występujących w systemie WebOS. To właśnie w to oprogramowanie są wyposażone telewizory LG obsługujące funkcje smart TV.
Pierwsza podatność pozwalała stworzyć uprzywilejowane konto na telewizorze. Specjalna aplikacja łączyła się z telewizorem, korzystając z portów 3000/3001 (usługi HTTP/HTTPS) i umożliwiała sterowanie urządzeniem. Standardowo przy takiej operacji powinno być wymagane podanie PIN-u, jednak tym razem, przy próbie tworzenia konta „bez uprawnień” nie było takiej konieczności.
Stworzone konto bez uprawnień, dla którego TV wygenerował wartość przechowywaną w parametrze companion-client-key. Teraz wystarczy stworzyć konto z uprawnieniami, ale sztucznie dokładając do żądania HTTP wartość zdobytą w poprzednim kroku (companion-client-key). TV myśli, że konto jest już założone, więc omija krok z wyświetleniem / weryfikacją PIN-u. W kolejnym kroku: zaraz, konto jednak nie istnieje… więc jest tworzone. No więc mamy już konto z uprawnieniami bez konieczności podawania PIN-u.
Serwis Sekurak zajmujący się problematyką cyberbezpieczeństwa
Badaczom, którzy zajmowali się sprawą, udało się uzyskać uprawnienia root do telewizorów z WebOS.
Czy użytkownicy mają się czego obawiać?
Jeśli mocno interesujecie się cyberbezpieczeństwem i informatyką, możecie zajrzeć na stronę Bitdefendera, gdzie szczegółowo opisano techniczne aspekty omawianych podatności. Dla pozostałych istotna informacja jest taka, że 22 marca 2024 roku LG miało wypuścić łatkę, dzięki której luki nie powinny już występować. Niemniej dla pewności poprosiliśmy firmę LG o komentarz w sprawie.
Bezpieczeństwo jest jednym z naszych najwyższych priorytetów w LG, dlatego we wszystkich krajach wprowadzono już niezbędne poprawki. Możemy potwierdzić, że po wdrożeniu poprawek wszystkie telewizory LG Smart, których dotyczył problem, nie będą już zagrożone. Jednocześnie zachęcamy wszystkich klientów do stosowania najnowszych aktualizacji oraz zalecamy włączenie automatycznych aktualizacji oprogramowania.
Monika Siejewicz, PR & Brand Communication Manager w LG dla Android.com.pl
Osoby szukające nowego telewizora zachęcamy do sprawdzenia naszych zestawień, np. rankingu telewizorów 65 cali. Jeśli z kolei chcielibyście korzystać z funkcji smart TV, ale poza brakiem takiej możliwości jesteście zadowoleni ze swojego obecnego telewizora, możecie rozważyć zakup specjalnej przystawki. Kosztuje ona dużo mniej niż telewizory LG oraz innych producentów. Dzięki przystawce nawet na starym telewizorze można korzystać z Netflixa, YouTube’a, Spotify i innych popularnych aplikacji.
Źródło: Sekurak, Bitdefender, opracowanie własne. Zdjęcie otwierające: LG / materiały prasowe, Depositphotos / atercov (montaż własny)
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.