Az LG OLED és LCD TV-k webOS rendszerében talált biztonsági rések révén hackerek átvehetik az irányítást a készülék felett, a már kiadott új firmware azonban javítja az azonosított sérülékenységeket.
Mivel az LG már készen áll a feltárt webOS biztonsági rések javítására, ezért a Bitdefender most nyilvánosságra hozta a 2023 novemberében felfedezett hibákat, melyek az Ars Technica riportja szerint a TV-k LG ThinQ okostelefon-alkalmazásával kommunikáló rendszerével kapcsolatosak.
A BitDefender sajtóközleménye szerint: „Számos az LG TV-ken futó WebOS 4-7 verziókat érintő problémát találtunk. Ezek a sebezhetőségek lehetővé teszik, hogy az engedélyezési mechanizmus megkerülése után root hozzáférést szerezzünk a TV-n. Bár a sebezhető szolgáltatást csak LAN-hozzáférésre szánják, az internetre csatlakoztatott eszközök keresőmotorja, a Shodan több mint 91.000 olyan eszközt azonosított, amelyek kiteszik ezt a szolgáltatást az internetre.”
A jelentés szerint az érintett több mint 91.000 LG TV felett a támadók átvehetik az irányítást, hogy botnetként éljenek vissza velük, illetve fizetős fiókokhoz vagy alkalmazásokhoz való hozzáférésre használják fel azokat.
Világszerte fellelhetőek ezek a sebezhető LG TV-k – a cikkben közölt táblázat szerint csak Lengyelországban 823 van, és bizonyos, hogy Magyarországon is akad néhány közülük -, és közöttük van az LG OLED és LCD TV-k több évjárata.
Az alábbi modelleket azonosították:
- webOS 4.9.7 – 5.30.40, ami LG43UM7000PLA-n (LG UM7000 széria 2019-től) fut,
- webOS 5.5.0 – 04.50.51, ami OLED55CXPUA-n (LG CX széria 2020-tól) fut,
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50, ami OLED48C1PUB-on (LG C1 széria 2021-től) fut,
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85, ami OLED55A23LA-n (LG A2 széria 2022-től) fut.
Mivel az LG TV-k általában ugyanazt a chipet és webOS verziót használják, ezért szinte bizonyos, hogy számos további modell is érintett lehet. Más jelentések szerint például az összes 2020. és 2023. közötti A, B, C és G sorozatú OLED TV érintett.
Az LG ugyan eddig is rendszeresen biztosított biztonsági frissítéseket, de a súlyos biztonsági problémák valószínűleg elkerülhetők lettek volna, ha az LG már korábban is olyan webOS verziófrissítéseket is kínált volna, mint az idén induló webOS Re:New Program, mivel a problémákat a webOS újabb verzióiban nem azonosították.
Az LG április 10-én tehát már kiadta a biztonsági javításokat az érintett modellekhez, ezért érdemes megnézni a TV-k beépített frissítési menüjét (Beállítások → Támogatás alatt), vagy felkeresni az LG terméktámogatási weboldalát, ahol a firmware-frissítések letölthetők USB-meghajtóra és telepíthetők a TV USB portján keresztül.
Alternatív megoldásként a frissítés elvégzéséig a TV teljesen lecsatlakoztatható az otthoni hálózatról.
Kapcsolódó tartalmak kereséséhez az alábbi címkék használatát javasoljuk.
XZ backdoor, most meg ez. 🙂