ขอบคุณภาพประกอบ bleeping computer
เว็บไซต์ bleeping computer รายงานเมื่อ 9 เม.ย.67 ว่า นักวิจัยด้านความปลอดภัย Bitdefender ได้ค้นพบช่องโหว่ 4 รายการที่ส่งผลกระทบระบบปฏิบัติการ เว็บโอเอส (WebOS) ของสมาร์ททีวี LG หลายเวอร์ชันช่องโหว่ดังกล่าวทำให้การเข้าถึงและควบคุมสมาร์ททีวี LG โดยไม่ได้รับอนุญาตในระดับต่างๆ รวมถึงการข้ามการอนุญาต การเพิ่มระดับสิทธิ์ และการถูกเจาะระบบโดยใช้วิธี injection การโจมตีที่เกิดขึ้นเป็นการสร้างบัญชีบนอุปกรณ์โดยใช้บริการที่ทำงานบนพอร์ต 3000/3001 ซึ่งพร้อมใช้งานสำหรับการเชื่อมต่อสมาร์ทโฟนกับสมาร์ททีวีผ่านการยืนยันแบบ PINจากการสแกนของ Shodan ปรากฎ สมาร์ททีวี LG จำนวน 91,000 เครื่อง ที่อาจเสี่ยงต่อช่องโหว่ดังกล่าว
ข้อบกพร่องทั้ง 4 ข้อสรุปได้ดังนี้
- CVE-2023-6317 ช่วยให้ผู้โจมตีสามารถหลบหลีกการอนุญาตของทีวี
- CVE-2023-6318 เป็นการยกระดับช่องโหว่ของสิทธิพิเศษที่ช่วยให้ผู้โจมตีสามารถเข้ากำหนดสิทธิ์ root ได้
- CVE-2023-6319 เกี่ยวข้องกับการแทรกคำสั่งระบบปฏิบัติการผ่านการจัดการไลบรารีที่รับผิดชอบในการแสดงเนื้อเพลง
- CVE-2023-6320 อนุญาตให้มีการแทรกคำสั่งที่ผ่านการรับรองความถูกต้อง ซึ่งทำให้มีสิทธิ์ใกล้เคียงกับสิทธิ์ของ root
Bitdefender กล่าวว่า ได้ตรวจพบช่องโหว่ตั้งแต่ 1 พ.ย.66 แต่ LG ใช้เวลาจนถึงวันที่ 22 มี.ค.67 เพื่อเผยแพร่การอัปเดตความปลอดภัย สมาร์ททีวีมักมีแอปพลิเคชันที่ต้องใช้บัญชี เช่น Netflix ซึ่งผู้โจมตีอาจขโมย และควบคุมบัญชีเหล่านั้นได้ ดังนั้น ผู้ใช้ที่ได้รับผลกระทบควรใช้การอัปเดตเพื่อให้ WebOS เป็นเวอร์ชันล่าสุด
