Die Cyber Security Firma Bitdefender berichtete im April 2024 mehrere Sicherheitslücken auf LG Smart-TVs, die die WebOS-Versionen 4 bis 7 betreffen. Die Schwachstellen ermöglichten es, Root-Zugriff auf den Fernseher zu erlangen, nachdem der Autorisierungsmechanismus umgangen wurde. Obwohl der anfällige Dienst nur für den LAN-Zugriff vorgesehen ist, identifizierte die Suchmaschiene Shodan über 91.000 Geräte, die diesen Dienst im Internet freigeben.
Eine gefundene Schwachstelle ermöglicht es dem Angreifer den Autorisierungsmechanismus in WebOS-Versionen 4 bis 7 zu umgehen. Durch das Setzen einer Variablen kann ein Angreifer einen zusätzlichen Benutzer zum Fernsehgerät hinzufügen (CVE-2023-6317).
Eine weitere Schwachstelle ermöglicht es Angreifern, den Zugriff, den sie im ersten Schritt erlangt haben, zu root zu erhöhen und das Gerät vollständig zu übernehmen (CVE-2023-6318).
Eine dritte Schwachstelle (CVE-2023-6319) ermöglicht das Einschleusen von Betriebssystembefehlen, indem eine Bibliothek manipuliert wird, die für die Anzeige von Musiktexten verantwortlich ist.
Die Schwachstelle CVE-2023-6320 ermöglicht es einem Angreifer, authentifizierte Befehle einzuschleusen, indem die API-Endpunkte mit setVlanStaticAddress manipuliert werden.
Für die Schwachstellen anfällig sind:
- webOS 4.9.7 – 5.30.40 auf LG43UM7000PLA
- webOS 5.5.0 – 04.50.51 auf OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 auf OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85 auf OLED55A23LA
Den vollständigen Bericht der Sicherheitsforscher finden Sie unter diesem Link.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: