Tisíce českých domácností mají v obýváku bezpečnostní hrozbu. Stará televize LG pustí útočníky do celé sítě

Bezpečnostní firma Bitdefender popsala řetězec kritických chyb v operačním systému webOS 4 až 7, který pohání starší chytré televize LG. 

Zdroj fotografie: Unsplash

Když si večer zapnete televizi a spustíte Netflix, pravděpodobně vás nenapadne, že ten samý přístroj právě teď naslouchá na dvou síťových portech a čeká na příkazy z vaší domácí sítě. Přesně tak funguje služba, kterou LG televize používá pro ovládání přes mobilní aplikaci ThinQ nebo funkci druhé obrazovky. A přesně v téhle službě se skrývala díra, kterou útočník mohl projít až k plné kontrole nad zařízením. Nejde o teoretický scénář z konference, jde o zdokumentovaný řetězec čtyř zranitelností s kritickým hodnocením 9,1 z 10, které bezpečnostní tým Bitdefenderu nahlásil LG v listopadu 2023.

Televize není obrazovka, je to počítač v síti

Většina lidí vnímá televizi jako pasivní zobrazovač. Jenže chytrá LG televize s webOS je plnohodnotné síťové zařízení s vlastním operačním systémem, připojením Wi-Fi, webovým serverem a sadou služeb běžících na pozadí. Na portech 3000 a 3001 poslouchá rozhraní, přes které se k televizi připojuje mobil s aplikací ThinQ. A právě tady začíná problém.

Bitdefender ve své technické zprávě napsal čtyři na sebe navazující zranitelnosti. První (CVE-2023-6317) umožňuje obejít PINem a vytvořit na televizi privilegovaný uživatelský účet. Následující tři chyby pak útočníkovi otevřou cestu k eskalaci práv na úroveň rootu, pokud libovolných příkazů. Výsledek? Útočník získá nad televizí stejnou kontrolu, jakou má její operační systém sám nad sebou. Může instalovat software, odposlouchávat provoz, a hlavně z kompromitované televize se posunout dál do domácí sítě. K vašemu NAS, notebook, chytré kamery, routeru.

Které televize jsou ohrožené

Prokazatelně testované a potvrzené modely zahrnují LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB a OLED55A23LA. Podle záznamu v americké národní databázi zranitelnosti (NVD) se chyby týkají konkrétních větví webOS 4 až 7. Důležité je ale chápat, že výzkum mířil na webOS jako platformu, ne na čtyři konkrétní televize. Pokud doma stojí stále LG televize s webOS 4, 5, 6 nebo 7, která nebyla aktualizována po březnu 2024, riziko je reálné.

V českém kontextu: minimálně modely 43UM7000PLA a OLED55A23LA mají prokazatelnou českou maloobchodní stopu, první figuruje na oficiálních stránkách LG CZ, druhý se prodával jako součást české nabídky a je dohledatelný i na cenových agregátorech. Nešlo o žádné exotické importy. Modelové řady CX, C1 i A2 patřily v Česku mezi nejprodávanější OLED televize svých ročníků. Může jít o tisíce domácností se staršími LG na webOS 4–7, přesné české číslo Bitdefender ani LG nezveřejnily, globálně ale výzkumníci přes Shodan napočítali přes 91 tisíc zařízení s touto službou viditelnosti z internetu.

Proč se o tom mluví až teď

Časová osa je přímočará. Bitdefender nahlásil chyby LG 1. listopadu 2023. LG potvrdilo 15. listopadu. Oprava vyšla 22. března 2024. Veřejná zpráva následovala 9. dubna 2024. Tehdy Bitdefender uvedl, že masové zneužití v reálném provozu nezaznamenalo, ale zároveň přiznalo, že takovou schopnost monitoringu nemá.

Dva roky poté se příběh vrací, a tentokrát je jiný. Nejde už o vývojářský problém, ale o problém nainstalované báze. Televize mají v domácnostech životnost osm, deset, někdy i patnáct let. LG sice nabízí automatické i manuální aktualizace, ale automatická aktualizace proběhne jen tehdy, když je televize připojena k internetu a funkce je zapnutá. Část uživatelů televize od Wi-Fi odpojila, část automatických aktualizací nikdy nezapnula, část má tak starý model, že aktualizace už nepřijde. A právě tato zařízení tiše běží v obývácích jako nezáplatovaná síťová zařízení.

Co udělám během pěti minut

Kontrola je jednoduchá a zvládne ji kdokoli:

1. Zjistěte model televize. Na webOS 5.0 a novějším: Nastavení → Všechna nastavení → Podpora → Informace o TV . Na webOS 4.5 a starším: Všechna nastavení → Obecné → O tomto televizoru → Informace o TV . Model najdete i na štítku na zadní straně přístroje.
2. Zkontrolujte verzi softwaru. Ve stejné sekci menu uvidíte číslo firmwaru. Porovnejte ho se zranitelnými větvemi, pokud je firmware starší než záplata z března 2024, aktualizujte.
3. Spusťte aktualizaci. Na webOS 6.0+: Nastavení → Všechna nastavení → Podpora → Aktualizace softwaru → Zjistit aktualizace . Na starších verzích: Všechna nastavení → Obecné → O tomto televizoru → Vyhledat aktualizace . Zapněte automatické aktualizace.
4. Když aktualizace neexistuje , tedy pokud je televize tak stará, že LG pro ani záplatu nevydalo, máte dvě rozumné cesty. Buď televizi připojen od internetu a používejte ji čistě jako displej s externím zařízením (Chromecast, Apple TV, set-top box). Nebo ji přesuňte na oddělenou síť pro hosty či IoT zařízení, kterou většina moderních routerů umí vytvořit. Na routeru zároveň vypněte UPnP a vzdálenou správu, to je obecné doporučení NSA pro zabezpečení domácí sítě , které platí bez ohledu na značku televize.

Není to jen problém LG

Zranitelnosti chytrých televizí nejsou specialitou jednoho výrobce. Samsung vede veřejný bezpečnostní bulletin pro své Smart TV a eviduje v něm mimo jiné injekce příkazů i eskalaci oprávnění, tedy stejná kategorie chyb. Sony provozuje centrální program pro hlášení produktových zranitelností. Rozdíl u případu LG webOS spočívá v tom, jak elegantně na sebe chyby navazovaly a jak snadný byl výsledný řetězec od obejití PINu po přístupu na úrovni root. Tři ze čtyř zranitelnosti dostaly kritické hodnocení 9,1 z 10.

Největší poučení ale vidíme jinde než v porovnávání značek. Chytrá televize je dnes třetí nebo nejdůležitější síťové zařízení v domácnosti, hned za routerem, telefonem a notebookem. Jenže když telefon aktualizujete každý týden a notebook má automatické záplaty, televize v rohu obýváku tiše běží na firmwaru z roku, kdy jste ji koupili. Pět minut u dálkového ovladače dnes večer může být nejlevnější bezpečnostní investicí, kterou letos uděláte.