Tyto 4 televize LG mohou být stále ve vážném ohrožení, hackeři nad nimi umí převzít kontrolu a infiltrovat se do Wi-Fi

Několik televizí značky LG postihly vážné bezpečnostní chyby. Útočníci mohli kvůli nim dokonce převzít úplnou kontrolu nad zařízením.

iStock

Televize značky LG patří nepochybně mezi nejrozšířenější na světě. Jenom v roce 2023 měla ostatně společnost téměř 17% podíl na celosvětovém trhu. Není proto divu, že se o uživatele zajímají také mnozí útočníci, kteří se snaží hledat a využívat zranitelnosti v systému televizí. A to se také sem tam podaří, ačkoliv někdy je těch bezpečnostních chyb hned několik. Třeba jako v případech níže, kdy byla největší slabinou možnost „rootu“.

Oprava problémů trvala několik měsíců

Jak upozornil server theHackerNews, v operačním systému webOS, který je právě na televizích značky LG, došlo k objevení hned několika bezpečnostních chyb, které mohly být zneužity k obcházení autorizace a získávání přístupů root, což ve zkratce znamená, že nad nimi mohli útočníci přebírat kontrolu. Na tato pochybení upozornila již koncem minulého roku rumunská společnost Bitdefender a LG je mělo koncem března 2024 opravit.

Osobně mi přijde trochu laxní, že to trvalo několik měsíců, ale hlavně, že k tomu nakonec došlo. Zpráva byla přitom vypuštěna až později z důvodu bezpečnosti, potažmo aby na ni nebyli útočníci zbytečně upozornění a nesnažili se chyb zneužívat v širším rozsahu. Není nicméně vyloučeno, že se do budoucna neobjeví další nedostatky, stává se to všem společnostem. Chyby se přitom týkaly následujících verzí webOS a televizí:

– webOS 4.9.7   5.30.40 běžící na LG43UM7000PLA

– webOS 5.5.0 – 04.50.51 běžící na OLED55CXPUA

– webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 běžící na OLED48C1PUB

– webOS 7.3.1-43 (mullet-mebin) – 03.33.85 běžící na OLED55A23LA

Objeveny byly hned 4 závažné nedostatky

Zmíněné chyby jsou v rozsahu CVE-2023-6317 až CVE-2023-6320, uvádí Bitdefender:

CVE-2023-6317 – chyba zabezpečení, která útočníkovi umožňuje obejít ověření PIN kódem a přidat do televizoru privilegovaný uživatelský profil bez nutnosti zásahu uživatele.

CVE-2023-6318 – chyba zabezpečení, která umožňuje útočníkovi zvýšit oprávnění a získat přístup root, aby mohl převzít kontrolu nad zařízením.

CVE-2023-6319 – chyba zabezpečení, která umožňuje vkládání příkazů operačního systému manipulací s knihovnou s názvem asm, která je zodpovědná za zobrazování hudebních textů.

CVE-2023-6320 – ohrožení zabezpečení, které umožňuje vkládání ověřených příkazů manipulací s koncovým bodem rozhraní API webOS.

Není sice upřesněno, v jakém rozsahu by mohly útočníci napáchat škody, ale jelikož by dokázaly převzít kontrolu de facto nad celým zařízením, mohly by se pravděpodobně dostat i do Wi-Fi sítě a přes nic k dalším přístrojům, tedy k telefonům, notebookům apod. Kdo přitom nenechal systém aktualizovat, je možné, že mu nebezpeční stále hrozí.