I ricercatori di Bitdefender hanno scoperto quattro vulnerabilità in varie versioni di webOS, il sistema operativo installato sulle smart TV di LG, che possono essere sfruttate per aggirare il meccanismo di autorizzazione e ottenere l’accesso root. Al momento risultano vulnerabili oltre 91.000 TV.
Installare subito l’aggiornamento
Gli esperti di Bitdefender hanno segnalato le vulnerabilità il 1 novembre 2023. Dopo aver confermato i problemi di sicurezza, LG ha rilasciato le patch il 22 marzo 2024. Se non già fatto (perché è stato disattivato l’aggiornamento automatico), gli utenti devono scaricare le nuove versioni del sistema operativo attraverso l’opzione nelle impostazioni. Questi sono i modelli di smart TV interessati:
- LG43UM7000PLA con webOS 4.9.7 – 5.30.40
- OLED55CXPUA con webOS 5.5.0 – 04.50.51
- OLED48C1PUB con webOS 6.3.3-442 – 03.36.50
- OLED55A23LA con webOS 7.3.1-43 – 03.33.85
La prima vulnerabilità, indicata con CVE-2023-6317, permette di aggirare l’autorizzazione tramite PIN (usato per impostare l’app LG ThinQ) e aggiungere un nuovo account. La seconda vulnerabilità, indicata con CVE-2023-6318, consente di sfruttare l’accesso ottenuto in precedenza per ottenere privilegi root e prendere il controllo della smart TV.
La terza vulnerabilità, indicata con CVE-2023-6319, permette di eseguire comandi arbitrari manipolando la libreria usata per mostrare il testo di brani musicali. Infine, la quarta vulnerabilità, indicata con CVE-2023-6320, consente di iniettare comandi sfruttando una API per la connettività LAN e ottenere permessi dbus (simile a root).
Eventuali malintenzionati potrebbero usare le vulnerabilità per rubare agli account dei servizi di streaming, accedere agli altri dispositivi connessi alla stessa rete e installare malware per trasformare la smart TV in un nodo delle botnet.
Ti potrebbe interessare
10 apr 2024