Bitdefender’daki güvenlik araştırmacıları, LG akıllı TV’lerde kullanılan işletim sistemi olan WebOS’un birden fazla sürümünü etkileyen dört güvenlik açığı keşfetti.
Kusurlar, yetkilendirme atlamaları, ayrıcalık yükseltme ve komut ekleme dahil olmak üzere, etkilenen modeller üzerinde değişen derecelerde yetkisiz erişime ve kontrole olanak tanıyor.
Potansiyel saldırılar, bir PIN kullanılarak akıllı telefon bağlantısı için kullanılabilen 3000/3001 bağlantı noktalarında çalışan bir hizmeti kullanarak cihazda rastgele hesaplar oluşturma becerisine dayanıyor.
Bitdefender, savunmasız LG WebOS hizmetinin yalnızca yerel alan ağları (LAN) ayarlarında kullanılması gerekmesine rağmen, Shodan internet taramalarının kusurlara karşı potansiyel olarak savunmasız olan 91.000 açıkta bulunan cihazı gösterdiğini açıklıyor.
Dört kusur şu şekilde özetlenmiştir:
- CVE-2023-6317 Saldırganların değişken bir ayardan yararlanarak TV’nin yetkilendirme mekanizmasını atlamasına olanak tanıyarak TV setine uygun yetkilendirme olmaksızın fazladan bir kullanıcının eklenmesine olanak tanır.
- CVE-2023-6318 saldırganların CVE-2023-6317 tarafından sağlanan ilk yetkisiz erişimin ardından kök erişimi elde etmesine olanak tanıyan bir ayrıcalık yükselmesi güvenlik açığıdır.
- CVE-2023-6319 müzik sözlerini görüntülemekten sorumlu bir kitaplığın manipülasyonu yoluyla işletim sistemine komut enjeksiyonunu içerir ve keyfi komutların yürütülmesine olanak tanır.
- CVE-2023-6320 com.webos.service.connectionmanager/tv/setVlanStaticAddress API uç noktasını kullanarak kimliği doğrulanmış komut enjeksiyonuna izin verir ve kök kullanıcıyla benzer izinlere sahip olan dbus kullanıcısı olarak komut yürütülmesini sağlar.
Güvenlik açıkları, LG43UM7000PLA’da webOS 4.9.7 – 5.30.40’ı, OLED55CXPUA’da webOS 04.50.51 – 5.5.0’ı, OLED48C1PUB’da webOS 0.36.50 – 6.3.3-442’yi ve OLED48C1PUB’da webOS 03.33.85 – 7.3.1-43’ü etkiliyor. OLED55A23LA.
Bitdefender bulgularını 1 Kasım 2023’te LG’ye bildirdi ancak satıcının ilgili güvenlik güncellemelerini yayınlaması 22 Mart 2024’e kadar sürdü.
LG TV’ler, önemli WebOS güncellemeleri mevcut olduğunda kullanıcıları uyarsa da, bunlar süresiz olarak ertelenebilir. Bu nedenle etkilenen kullanıcıların güncellemeyi TV’nin Ayarlar > Destek > Yazılım Güncellemeve “‘yi seçiyorumGüncellemeleri kontrol ediniz“
WebOS güncellemelerinin mevcut olduğunda otomatik olarak uygulanması aynı menüden etkinleştirilebilir.
Her ne kadar TV’ler güvenlik açısından daha az kritik olsa da, uzaktan komut yürütmenin ciddiyeti bu durumda potansiyel olarak önemli olmaya devam ediyor çünkü saldırganlara aynı ağa bağlı diğer, daha hassas cihazlara ulaşmak için bir pivot noktası verebilir.
Dahası, akıllı TV’lerde genellikle saldırganın bu hesapların kontrolünü ele geçirmek için çalabileceği akış hizmetleri gibi hesap gerektiren uygulamalar bulunur.
Son olarak, savunmasız TV’ler, onları dağıtılmış hizmet reddi (DDoS) saldırılarına dahil eden kötü amaçlı yazılım botnet’leri tarafından tehlikeye atılabilir veya kripto para madenciliği için kullanılabilir.