Vulnerabilitate identificată în LG WebOS TV
Sursă: https://cybersecuritynews.com
A fost identificată o vulnerabilitate de securitate în sistemul WebOS al LG pentru televizoarele inteligente, permițând unui atacator din aceeași rețea locală să ocolească mecanismele de autentificare și să obțină controlul deplin asupra dispozitivului.
Vulnerabilitatea, care afectează modele precum LG WebOS 43UT8050, permite atacatorilor neautentificați să obțină acces root, să instaleze aplicații rău intenționate și să compromită complet dispozitivul.
Lanțul de atacuri începe cu o vulnerabilitate în serviciul browserului care rulează pe televizor. Acest serviciu se activează pe portul 18888 atunci când este conectat un dispozitiv de stocare USB. Acesta expune endpoint API / getFile, destinat să permită dispozitivelor peer să descarce fișiere din anumite directoare.
Vulnerabilitatea se datorează lipsei unei validări corespunzătoare a parametrului de path, serviciul fiind vulnerabil la o eroare de tip path traversal. Acest lucru permite unui atacator să solicite și să descarce orice fișier din sistemul de fișiere al televizorului fără a fi nevoie să se autentifice.
Exploatând această vulnerabilitate de tip path traversal, un atacator poate accesa fișiere sensibile ale sistemului. Ținta principală este fișierul bazei de date situat în /var/db/main/, care conține cheile de autentificare pentru utilizatorii care s-au conectat anterior la serviciul secondscreen.gateway al televizorului.
Odată autentificat în serviciul secondscreen, atacatorul are privilegiile necesare pentru a activa modul dezvoltator pe dispozitiv. De acolo, poate utiliza instrumente de dezvoltare pentru a instala orice aplicație, inclusiv malware conceput pentru a urmări utilizatorul, a sustrage date sau a utiliza televizorul ca bot într-o rețea mai mare de dispozitive compromise.
Întregul proces poate fi automatizat cu ajutorul unui script simplu, permițând exploatarea rapidă odată ce s-a obținut accesul inițial la rețeaua locală.
Ca răspuns la această divulgare, LG a publicat avizul de securitate SMR-SEP-2025 și îndeamnă utilizatorii să se asigure că dispozitivele lor sunt actualizate cu cel mai recent firmware.
Sursă: https://cybersecuritynews.com/lg-webos-tv-vulnerability/
