Bitdefender’ın siber güvenlik araştırmacıları, webOS 4’ten 7’ye kadar olan sürümleri çalıştıran LG TV’lerde kritik güvenlik açıkları keşfetti. Bu güvenlik açıkları, saldırganların TV üzerinde tam kontrol sahibi olmasına, verileri çalmasına veya kötü amaçlı yazılım yüklemesine olanak sağlayabilir.
Güvenlik açıkları, Bitdefender tarafından popüler IoT cihazlarının güvenliğine ilişkin araştırmaların bir parçası olarak tespit edildi. Saldırganların kimlik doğrulama mekanizmalarını atlayıp yükseltilmiş ayrıcalıklara sahip yeni kullanıcı hesapları oluşturabildiğini buldular. Bu, kötü amaçlı kod enjekte etmek, veri çalmak veya akıllı ev ağında yanal hareket etmek de dahil olmak üzere TV’nin tam kontrolünü ele geçirmelerine olanak tanıyacak.
Bitdefender, Kasım 2023’te güvenlik açıklarını sorumlu bir şekilde LG’ye açıkladı. LG, güvenlik açıklarını Kasım ayında doğruladı ve Mart 2024’te bir yama yayınladı. Ancak Bitdefender, kullanıcılar arasında farkındalığı artırmak için güvenlik açıklarının ayrıntılarını kamuya açıklamak için bugün, yani 9 Nisan 2024’e kadar bekledi. ve onları televizyonlarını güncellemeye teşvik edin.
Hangi LG TV modelleri etkilendi?
Aşağıdaki LG TV modelleri bu güvenlik açıklarından etkilenmektedir:
- webOS 4.9.7 – 5.30.40 çalıştıran LG TV’ler (ör. LG43UM7000PLA)
- webOS 5.5.0 – 04.50.51 çalıştıran LG TV’ler (ör. OLED55CXPUA)
- webOS 7.3.1-43 (kefal-mebin) çalıştıran LG TV’ler – 03.33.85 (ör. OLED55A23LA)
- webOS 6.3.3-442 (kisscurl-kinglake) çalıştıran LG TV’ler – 03.36.50 (ör. OLED48C1PUB.
CVE-2023-6317 olarak tanımlanan ilk güvenlik açığı, saldırganların yetkilendirme mekanizmasını atlamalarına olanak tanıyor ve belirli bir değişkeni manipüle ederek TV setine kullanıcı eklemelerine olanak tanıyor.
Sonraki bir adımda saldırganlar, erişim ayrıcalıklarını root’a yükseltmek için başka bir güvenlik açığından (CVE-2023-6318) yararlanabilir ve cihaz üzerinde tam kontrol elde edebilir.
Ayrıca üçüncü bir güvenlik açığı (CVE-2023-6319), müzik sözlerini görüntülemekten sorumlu bir kitaplığın kurcalanması yoluyla işletim sistemine komut enjeksiyonuna izin veriyor. Son olarak, CVE-2023-6320 güvenlik açığı, saldırganların API uç noktasını değiştirerek kimliği doğrulanmış komutlar eklemesine olanak tanıyor.
En Çok Etkilenen Ülkeler
Yanlış yapılandırılmış ve açığa çıkan Nesnelerin İnterneti (IoT) cihazlarını ortaya çıkarmak için tasarlanan arama motoru Shodan’a bir bakış, akıllı cihaz güvenlik açıkları açısından en çok etkilenen ülkeleri ortaya çıkarıyor. Güney Kore, maruz kalan 91.938 cihazın bulunduğu listenin başında yer alırken, onu sırasıyla ikinci ve üçüncü sırada Hong Kong ve ABD takip ediyor.
LG TV sahipleri ne yapmalı?
LG, Mart 2024’te bu güvenlik açıklarını gidermek için bir yama yayınladı. LG TV sahipleri, TV’lerini mümkün olan en kısa sürede en son yazılım sürümüne güncellemelidir. Güncellemeleri genellikle TV’nin ayarlar menüsünden kontrol edebilirsiniz.
İLGİLİ KONULAR
- Akıllı TV’yi Hedefleyen Fidye Yazılımlarına Merhaba Deyin
- Hacker, Akıllı TV’lerin Uzaktan Nasıl Hacklenebileceğini Gösteriyor
- Samsung’un Tizen Tabanlı Akıllı TV’sinde Kritik Güvenlik Açığı Bulundu
- LG Akıllı TV Ekranı, Android Fidye Yazılımı Enfeksiyonundan Sonra Tuğlalandı
- Akıllı TV’ler her saniye ekran görüntüsü alıp sunucuya gönderiyor