Una recente ricerca condotta da Bitdefender ha messo in luce alcune criticità nel sistema operativo WebOS, usato nelle smart TV di LG. Lo studio fa parte di un'iniziativa più ampia, volta ad esaminare la sicurezza dei dispositivi IoT più venduti al mondo, e ha rivelato una serie di vulnerabilità nelle versioni da 4 a 7 del sistema operativo in questione. Sfruttandole, dei malintenzionati potrebbero ottenere l'accesso di root ai televisori LG, eludendo i meccanismi di autorizzazione.
Nonostante i servizi vulnerabili siano stati concepiti esclusivamente per l'accesso locale, è stato rilevato che oltre 91.000 dispositivi risultano esposti su Internet, secondo quanto identificato attraverso Shodan, il motore di ricerca per dispositivi connessi in rete.
Le vulnerabilità sono identificate nei dettagli come segue:
- CVE-2023-6317: Consente di bypassare il meccanismo di autorizzazione in WebOS versioni 4-7 aggiungendo un utente extra al televisore.
- CVE-2023-6318: Permette agli attaccanti di elevarsi a pieno controllo del dispositivo con privilegi di root.
- CVE-2023-6319: Rende possibile l’injection di comandi nel sistema operativo manipolando una libreria usata per la visualizzazione del testo delle canzoni.
- CVE-2023-6320: Permette l’injection di comandi autenticati manipolando l’endpoint API com.webos.service.connectionmanager/tv/setVlanStaticAddress.
Queste vulnerabilità colpiscono versioni specifiche del sistema operativo WebOS distribuito su diversi modelli di televisori LG, evidenziando un rischio concreto per la sicurezza degli utenti. Rappresentano una minaccia in quanto offrono ai malintenzionati la possibilità di comandare il dispositivo colpito con pieni privilegi, con tutte le implicazioni negative che questo comporta in termini di privacy e sicurezza delle informazioni.
Bitdefender ha segnalato le vulnerabilità a LG lo scorso 1 novembre 2023, pochi giorni dopo (il 15 novembre) il produttore le ha confermate. Una richiesta di estensione è stata poi presentata il 14 dicembre, con il rilascio delle patch di sicurezza avvenuto per il 22 marzo 2024, e infine la pubblicazione del report da parte di Bitdefender il 9 aprile 2024. Se non l'avete ancora fatto, verificate l'eventuale presenza di aggiornamenti e installateli subito, così da proteggere il vostro dispositivo.
Entrando nel dettaglio tecnico, gli esperti di Bitdefender hanno scoperto che WebOS esegue un servizio sui porti 3000/3001 (HTTP/HTTPS/WSS) utilizzato dall'app LG ThinkQ per il controllo da remoto del televisore. Un errore nel gestore degli account permette di saltare completamente la verifica del PIN e di creare un profilo utente privilegiato senza interazione dell'utente. Successivamente, è stato possibile sfruttare altre vulnerabilità autenticate per l'injection di comandi che portano ad ottenere accesso root, ed eseguire comandi come l'utente dbus che possiede permessi quasi pari a quelli di root.