Σύμφωνα με ορισμένες πρόσφατες εκτιμήσεις, έως και 91.000 τηλεοράσεις LG θα μπορούσαν να παραβιαστούν εάν δεν εγκατασταθεί μια ενημέρωση ασφαλείας που κυκλοφόρησε πρόσφατα . Χάρη σε αυτό, επιδιορθώθηκαν τέσσερα κρίσιμα τρωτά σημεία που ανακαλύφθηκαν στα τέλη του περασμένου έτους. Από τις 10 Απριλίου, οι ενημερώσεις για διάφορα μοντέλα είναι διαθέσιμες μέσω του μενού ρυθμίσεων της συσκευής και μπορούν να ανακληθούν χειροκίνητα εάν δεν ειδοποιηθούν
Τα ελαττώματα ασφαλείας αφορούν τέσσερα μοντέλα τηλεοράσεων LG τα οποία, συνολικά, αντιπροσωπεύουν πάνω από 88.000 μονάδες παγκοσμίως, όπως αναφέρει η ArsTechnica με βάση τα αποτελέσματα της μηχανής αναζήτησης Shodan. Τα καλά νέα, τουλάχιστον για τη χώρα μας, είναι ότι η πλειοψηφικά αυτών των τηλεοράσεων βρίσκεται στη Νότια Κορέα και ακολουθούν το Χονγκ Κονγκ, οι Ηνωμένες Πολιτείες, η Σουηδία και η Φινλανδία. Τα μοντέλα που επηρεάζονται είναι τα ακόλουθα:
- LG43UM7000PLA con webOS 4.9.7 – 5.30.40
- OLED55CXPUA με webOS 5.5.0 – 04.50.51
- OLED48C1PUB με webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50
- OLED55A23LA con webOS 7.3.1-43 (mullet-mebin) – 03.33.85
Ο κύριος κίνδυνος σύμφωνα με την Bitdefender, την εταιρεία ασφαλείας που ανακάλυψε τα τρωτά σημεία, είναι ότι οι χάκερ μπορούν να εκμεταλλευτούν τα ελαττώματα για να αποκτήσουν πρόσβαση root σε συσκευές και να εισάγουν εκτελέσιμες εντολές σε επίπεδο λειτουργικού συστήματος. Τα ελαττώματα επηρεάζουν τις εσωτερικές υπηρεσίες που επιτρέπουν στους χρήστες να ελέγχουν τηλεοράσεις μέσω smartphone και επιτρέπουν στους εισβολείς να παρακάμπτουν τα μέτρα ελέγχου ταυτότητας.
Η βασική ευπάθεια που καθιστά πιθανές αυτές τις απειλές έγκειται σε μια υπηρεσία που επιτρέπει τον έλεγχο των τηλεοράσεων μέσω της εφαρμογής LG ThinQ smartphone όταν είναι συνδεδεμένη στο ίδιο τοπικό δίκτυο. Η υπηρεσία υποτίθεται ότι απαιτεί από τον χρήστη να εισάγει έναν κωδικό PIN για εξουσιοδότηση, αλλά η ευπάθεια που προσδιορίζεται ως CVE-2023-6317 επιτρέπει σε κάποιον να παραλείψει αυτό το βήμα επαλήθευσης, καθιστώντας τον προνομιούχο χρήστη με ευκολία. Μόλις επιτευχθεί αυτό το επίπεδο ελέγχου, οι εισβολείς μπορούν να εκμεταλλευτούν τρία άλλα τρωτά σημεία, και συγκεκριμένα:
- CVE-2023-6318: Επιτρέπει στους εισβολείς να αυξήσουν την πρόσβασή τους στο root
- CVE-2023-6319: Επιτρέπει την ένεση εντολών του λειτουργικού συστήματος χειρίζοντας μια βιβλιοθήκη για την εμφάνιση στίχων τραγουδιών
- CVE-2023-6320: Επιτρέπει σε έναν εισβολέα να εισάγει επαληθευμένες εντολές χειρίζοντας τη διεπαφή της εφαρμογής com.webos.service.connectionmanager/tv/setVlanStaticAddress