Получила продолжение тема со взломом телевизоров LG, о которой стало известно в начале этой недели. Сегодня появилось подтверждение, что уязвимости затронули все модели телевизоров LG с указанными версиями webOS, то есть всю линейку телевизоров LG, начиная с 2019 года.
Уязвимости в webOS от LG, позволяющие злоумышленникам получить контроль над устройством, затрагивают как OLED, так и LCD модели. LG выпустила новую прошивку для устранения выявленных уязвимостей.
Серьезные уязвимости в системе безопасности, связанные с ошибками в системе взаимодействия телевизоров с приложением для смартфонов LG ThinQ, были обнаружены в ноябре 2023 года компанией Bitdefender и раскрыты сейчас, когда LG уже подготовила исправления, говорится в отчете Ars Technica.
«Мы обнаружили несколько проблем, затрагивающих WebOS версий с 4 по 7, работающую на телевизорах LG. Эти уязвимости позволяют получить root-доступ к телевизору в обход механизма авторизации. Хотя уязвимый сервис предназначен только для доступа по локальной сети, Shodan, поисковая система для подключенных к Интернету устройств, обнаружила более 91 000 устройств, которые открывают этот сервис для доступа в Интернет», — говорится в пресс-релизе BitDefender.
В чем опасность?
На устройствах, которые не были вовремя обновлены, хакеры могут обойти аутентификацию в LG webOS версий от 4 до 7 и добавить себя в качестве нового пользователя. Затем они могут расширить свои права доступа до root-контроля. Используя уязвимости, они могут заразить атакованную домашнюю сеть любым типом вредоносного ПО, например, инструментами для утечки информации или вымогательства, под контролем команды. В случае с уязвимостью CVE-2023-6319 злоумышленник использует манипуляции с библиотекой, которая отвечает за отображение текстов песен.
Какие телевизоры LG пострадали
Согласно отчету, затронуто более 91 000 телевизоров LG, которые могут быть захвачены злоумышленниками для использования в качестве ботнета или, возможно, для получения доступа к платным аккаунтам или приложениям. Уязвимые телевизоры LG расположены по всему миру, включая Азию, Европу и Америку, и охватывают несколько поколений OLED- и ЖК-телевизоров LG. Были выявлены следующие версии webOS:
- webOS 4.9.7 — 5.30.40 (модели LG с 2019 года)
- webOS 5.5.0 — 04.50.51 (модели LG с 2020 года)
- webOS 6.3.3-442 (kisscurl-kinglake) — 03.36.50 (модели LG с 2021 года)
- webOS 7.3.1-43 (mullet-mebin) — 03.33.85 (модели LG с 2022 года)
Все модели телевизоров LG, работающие под управлением этих версий webOS, могут быть взломаны!
Обновите или отключите телевизор от интернета
В течение десяти лет LG отказывалась обновлять версию webOS в своих телевизорах, однако компания регулярно выпускала обновления системы безопасности. Тем не менее, серьезных проблем с безопасностью, вероятно, можно было бы избежать, если бы LG предоставила обновление версии webOS, поскольку в новых версиях webOS эти проблемы не были обнаружены.
LG выпустила патчи безопасности для затронутых моделей в эту среду, поэтому проверьте встроенное меню обновления вашего телевизора (в разделе Настройки -> Поддержка) или обратитесь на страницу поддержки LG в вашей стране, где обновления прошивки можно загрузить на USB-накопитель и установить через USB-порт телевизора.
В качестве альтернативы можно полностью отключить телевизор LG от домашней сети и использовать внешний медиаплеер. Управлять им можно как с помощью пульта LG, так и с помощью собственного пульта.
Более подробную информацию об уязвимостях можно найти в пресс-релизе Bitdefender здесь.