Η LG επιδιορθώνει τέσσερις ευπάθειες που επιτρέπουν σε κακόβουλους χάκερ να επιτάξουν τηλεοράσεις.
Μέχρι και 91.000 τηλεοράσεις της LG αντιμετωπίζουν τον κίνδυνο να καταληφθούν αν δεν λάβουν μια ενημέρωση ασφαλείας που μόλις κυκλοφόρησε και επιδιορθώνει τέσσερις κρίσιμες ευπάθειες που ανακαλύφθηκαν στα τέλη του περασμένου έτους.
Τα τρωτά σημεία εντοπίζονται σε τέσσερα μοντέλα τηλεοράσεων της LG που συνολικά περιλαμβάνουν λίγο περισσότερες από 88.000 μονάδες σε όλο τον κόσμο, σύμφωνα με τα αποτελέσματα που επέστρεψε η μηχανή αναζήτησης Shodan για συσκευές συνδεδεμένες στο Διαδίκτυο. Η συντριπτική πλειονότητα αυτών των μονάδων βρίσκεται στη Νότια Κορέα, ακολουθούμενη από το Χονγκ Κονγκ, τις ΗΠΑ, τη Σουηδία και τη Φινλανδία. Τα μοντέλα είναι τα εξής:
- LG43UM7000PLA με webOS 4.9.7 – 5.30.40
- OLED55CXPUA με webOS 5.5.0 – 04.50.51
- OLED48C1PUB με webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50
- OLED55A23LA με webOS 7.3.1-43 (mullet-mebin) – 03.33.85
Από την Τετάρτη, οι ενημερώσεις είναι διαθέσιμες μέσω του μενού ρυθμίσεων αυτών των συσκευών.
Έχετε root;
Σύμφωνα με την Bitdefender -την εταιρεία ασφαλείας που ανακάλυψε τις ευπάθειες- κακόβουλοι χάκερ μπορούν να τις εκμεταλλευτούν για να αποκτήσουν πρόσβαση root στις συσκευές και να εισάγουν εντολές που εκτελούνται σε επίπεδο λειτουργικού συστήματος. Οι ευπάθειες, οι οποίες επηρεάζουν τις εσωτερικές υπηρεσίες που επιτρέπουν στους χρήστες να ελέγχουν τις συσκευές τους χρησιμοποιώντας τα τηλέφωνά τους, καθιστούν δυνατή την παράκαμψη από τους επιτιθέμενους των μέτρων ελέγχου ταυτότητας που έχουν σχεδιαστεί για να διασφαλίζουν ότι μόνο εξουσιοδοτημένες συσκευές μπορούν να κάνουν χρήση των δυνατοτήτων.
“Αυτές οι ευπάθειες μας επιτρέπουν να αποκτήσουμε πρόσβαση root στην τηλεόραση μετά την παράκαμψη του μηχανισμού εξουσιοδότησης”, έγραψαν οι ερευνητές της Bitdefender την Τρίτη. “Παρόλο που η ευάλωτη υπηρεσία προορίζεται μόνο για πρόσβαση σε τοπικό δίκτυο, το Shodan, η μηχανή αναζήτησης για συσκευές που είναι συνδεδεμένες στο Διαδίκτυο, εντόπισε πάνω από 91.000 συσκευές που εκθέτουν αυτή την υπηρεσία στο Διαδίκτυο”.
Η βασική ευπάθεια που καθιστά δυνατές αυτές τις απειλές βρίσκεται σε μια υπηρεσία που επιτρέπει τον έλεγχο των τηλεοράσεων μέσω της εφαρμογής ThinkQ smartphone της LG, όταν είναι συνδεδεμένη στο ίδιο τοπικό δίκτυο. Η υπηρεσία έχει σχεδιαστεί έτσι ώστε να απαιτεί από τον χρήστη να εισάγει έναν κωδικό PIN για να αποδείξει την εξουσιοδότηση, αλλά ένα σφάλμα επιτρέπει σε κάποιον να παρακάμψει αυτό το βήμα επαλήθευσης και να γίνει προνομιούχος χρήστης. Αυτή η ευπάθεια εντοπίζεται ως CVE-2023-6317.
Μόλις οι επιτιθέμενοι αποκτήσουν αυτό το επίπεδο ελέγχου, μπορούν να προχωρήσουν στην εκμετάλλευση τριών άλλων ευπαθειών, συγκεκριμένα:
- CVE-2023-6318, το οποίο επιτρέπει στους επιτιθέμενους να αυξήσουν την πρόσβασή τους σε root
- CVE-2023-6319, το οποίο επιτρέπει την εισαγωγή εντολών του λειτουργικού συστήματος μέσω χειρισμού μιας βιβλιοθήκης για την προβολή στίχων μουσικής
- CVE-2023-6320, το οποίο επιτρέπει σε έναν επιτιθέμενο να εισάγει εντολές με έλεγχο ταυτότητας χειριζόμενος τη διεπαφή εφαρμογής com.webos.service.connectionmanager/tv/setVlanStaticAddress.
Σύμφωνα με τις σελίδες υποστήριξης της LG, τόσο το τηλέφωνο όσο και η τηλεόραση πρέπει να είναι συνδεδεμένα στο ίδιο δίκτυο για να λειτουργήσει η εφαρμογή ThinkQ. Ένας εκπρόσωπος της Bitdefender επιβεβαίωσε μέσω ηλεκτρονικού ταχυδρομείου ότι απαιτείται τοπική πρόσβαση για την εκμετάλλευση των ευπαθειών, αλλά σημείωσε ότι μόλις παραβιαστεί, οι συσκευές μπορούν να ελέγχονται εξ αποστάσεως από εκεί και πέρα.
Σε κάθε περίπτωση, οι ευπάθειες είναι αρκετά σοβαρές ώστε να δικαιολογούν την επιδιόρθωση, καθώς κάποιος με μη εξουσιοδοτημένη πρόσβαση σε μια τηλεόραση θα μπορούσε ενδεχομένως να έχει πρόσβαση σε συνδεδεμένους λογαριασμούς επί πληρωμή, να παρακολουθεί τις συνήθειες θέασης, να εγκαθιστά εφαρμογές ή ενδεχομένως να εγγράφει συσκευές σε ένα botnet. Δεν είναι σαφές γιατί εμφανίζονται τόσες πολλές τηλεοράσεις LG στα αποτελέσματα του Shodan. Σπάνια υπάρχει νόμιμος λόγος για την έκθεση των περισσότερων συσκευών Internet of Things στο Διαδίκτυο, ιδίως μιας τηλεόρασης. Αντ’ αυτού, θα πρέπει να περιορίζονται πίσω από ένα δρομολογητή, ώστε να μην είναι ποτέ ορατές στον έξω κόσμο. Οι άνθρωποι μπορούν να ελέγξουν για να δουν ποιες συσκευές εκθέτουν τα δίκτυά τους χρησιμοποιώντας δωρεάν εργαλεία σάρωσης θυρών, όπως αυτό εδώ.
Ενώ πολλές συσκευές είναι ρυθμισμένες να εγκαθιστούν αυτόματα τις ενημερώσεις, αξίζει να ελέγξετε τις ρυθμίσεις του υλικολογισμικού για να βεβαιωθείτε ότι έχει εγκατασταθεί η πιο πρόσφατη έκδοση. Οι ακριβείς οδηγίες διαφέρουν από μοντέλο σε μοντέλο, αλλά γενικά περιλαμβάνουν πλοήγηση στη διεύθυνση: Ρυθμίσεις > Όλες οι ρυθμίσεις > Υποστήριξη και, στη συνέχεια, την επιλογή Ενημέρωση λογισμικού και στη συνέχεια την επιλογή Έλεγχος για ενημερώσεις. Εάν υπάρχει διαθέσιμη ενημέρωση, επιλέξτε Λήψη και εγκατάσταση. Η LG διαθέτει οδηγίες εδώ και εδώ.
