Immagini Getty
Ben 91.000 televisori LG rischiano di essere sequestrati a meno che non ricevano un aggiornamento di sicurezza appena rilasciato per correggere quattro vulnerabilità critiche scoperte alla fine dello scorso anno.
Le vulnerabilità sono state trovate in quattro modelli di TV LG che complessivamente contano poco più di 88.000 unità in tutto il mondo. secondo Risultati restituiti dal motore di ricerca Shodan per i dispositivi connessi a Internet. La stragrande maggioranza di queste unità si trova in Corea del Sud, seguita da Hong Kong, Stati Uniti, Svezia e Finlandia. I modelli sono:
- LG43UM7000PLA con webOS 4.9.7 – 5.30.40
- OLED55CXPUA con webOS 5.5.0 – 04.50.51
- OLED48C1PUB con webOS 6.3.3-442 (kisscurl-kinglake) – 36.03.50
- OLED55A23LA con webOS 7.3.1-43 (multipli) – 33.03.85
Da mercoledì gli aggiornamenti sono disponibili tramite il menu delle impostazioni di questi dispositivi.
hai rootato?
Secondo Bitdefender, la società di sicurezza che ha scoperto le vulnerabilità, gli hacker malintenzionati possono sfruttarle per ottenere l'accesso root nei dispositivi e iniettare comandi che funzionano a livello del sistema operativo. Le vulnerabilità, che colpiscono i servizi interni che consentono agli utenti di controllare i propri dispositivi utilizzando i propri telefoni, consentono agli aggressori di aggirare le procedure di autenticazione progettate per garantire che solo i dispositivi autorizzati possano beneficiare di tali funzionalità.
“Queste vulnerabilità ci consentono di ottenere l'accesso root sulla TV dopo aver aggirato il meccanismo di autorizzazione”, hanno affermato i ricercatori di Bitdefender Martedì ha scritto. “Sebbene il servizio vulnerabile sia destinato esclusivamente all'accesso tramite LAN, Shodan, un motore di ricerca per dispositivi connessi a Internet, ha identificato più di 91.000 dispositivi che espongono questo servizio a Internet.”
La principale vulnerabilità che rende possibili queste minacce risiede in un servizio che consente di controllare i televisori utilizzando l'app per smartphone ThinkQ di LG quando sono collegati alla stessa rete locale. Il servizio era stato progettato per richiedere all'utente di inserire un PIN per dimostrare l'autorizzazione, ma si è verificato un bug che ha consentito a qualcuno di saltare questo passaggio di verifica e diventare un utente premium. Questa vulnerabilità viene tracciata come: CVE-2023-6317.
Una volta che gli aggressori hanno questo livello di controllo, possono continuare a sfruttare altre tre vulnerabilità, nello specifico:
- CVE-2023-6318consentendo agli aggressori di sfruttare il proprio accesso root
- CVE-2023-6319che consente di inserire comandi del sistema operativo manipolando una libreria per visualizzare i testi musicali
- CVE-2023-6320che consente a un utente malintenzionato di inserire comandi autenticati manipolando l'interfaccia dell'applicazione com.webos.service.connectionmanager/tv/setVlanStaticAddress.
/cdn.vox-cdn.com/uploads/chorus_asset/file/24401980/STK071_ACastro_apple_0003.jpg)