Sicherheitsforscher von Bitdefender haben vier Schwachstellen in verschiedenen Versionen von WebOS entdeckt, dem Betriebssystem, das in LG Smart TVs verwendet wird.
Diese Mängel ermöglichen unterschiedliche Grade des unbefugten Zugriffs und der Kontrolle über betroffene Modelle, einschließlich der Umgehung von Autorisierungen, Privilegienerhöhung und Befehlseinschleusung.
Die potenziellen Angriffe basieren auf der Möglichkeit, willkürliche Konten auf dem Gerät zu erstellen, indem ein Dienst genutzt wird, der auf den Ports 3000/3001 läuft. Dieser ist eigentlich für die Smartphone-Konnektivität unter Verwendung einer PIN vorgesehen.
Bitdefender erklärt, dass der anfällige LG WebOS-Dienst eigentlich nur in lokalen Netzwerkeinstellungen (LAN) verwendet werden soll. Scans des Internets mit Shodan zeigen jedoch 91.000 freigegebene Geräte, die potenziell anfällig für die Schwachstellen sind.
Die vier Schwachstellen im Überblick:
- CVE-2023-6317 ermöglicht Angreifern, den Autorisierungsmechanismus des Fernsehers zu umgehen, indem eine Variableneinstellung ausgenutzt wird. Dies ermöglicht die Hinzufügung eines zusätzlichen Benutzers zum Fernsehgerät ohne ordnungsgemäße Autorisierung.
- CVE-2023-6318 ist eine Schwachstelle zur Erhöhung von Privilegien, die es Angreifern ermöglicht, nach dem anfänglichen unbefugten Zugriff durch CVE-2023-6317 Root-Zugriff zu erlangen.
- CVE-2023-6319 betrifft die Einschleusung von Betriebssystembefehlen durch Manipulation einer Bibliothek, die für die Anzeige von Musiktexten verantwortlich ist. Dies erlaubt die Ausführung willkürlicher Befehle.
- CVE-2023-6320 erlaubt die Einschleusung authentifizierter Befehle, indem der API-Endpunkt com.webos.service.connectionmanager/tv/setVlanStaticAddress ausgenutzt wird. Dies ermöglicht die Ausführung von Befehlen als der dbus-Benutzer, der ähnliche Berechtigungen wie der Root-Benutzer hat.
Die Schwachstellen betreffen webOS 4.9.7 – 5.30.40 auf LG43UM7000PLA, webOS 04.50.51 – 5.5.0 auf OLED55CXPUA, webOS 0.36.50 – 6.3.3-442 auf OLED48C1PUB und webOS 03.33.85 – 7.3.1-43 auf OLED55A23LA.
Bitdefender meldete seine Erkenntnisse am 1. November 2023 an LG, aber es dauerte bis zum 22. März 2024, bis der Hersteller die zugehörigen Sicherheitsupdates veröffentlichte.
Obwohl LG TVs die Benutzer benachrichtigen, wenn wichtige WebOS-Updates verfügbar sind, können diese auf unbestimmte Zeit verschoben werden. Betroffene Nutzer sollten daher das Update anwenden, indem sie zu den Einstellungen des TVs gehen > Support > Software-Update und „Nach Update suchen“ auswählen.
Die automatische Anwendung von WebOS-Updates, wenn verfügbar, kann im selben Menü aktiviert werden.
Obwohl TVs in Bezug auf die Sicherheit weniger kritisch sind, bleibt die Schwere der Fernbefehlsausführung in diesem Fall potenziell signifikant, da sie Angreifern einen Ausgangspunkt bieten könnte, um andere, sensiblere Geräte im selben Netzwerk zu erreichen.
Darüber hinaus haben Smart-TVs oft Anwendungen, die Konten erfordern, wie Streaming-Dienste, deren Kontrolle Angreifer potenziell übernehmen könnten.
Schließlich können anfällige TVs von Malware-Botnetzen kompromittiert werden, die sie in Distributed Denial of Service (DDoS)-Angriffe einbinden oder für Kryptomining verwenden.