Tisíce chytrých televízorov tejto značky je možné hacknúť. Okamžite si váš televízor aktualizujte!
Operačný systém známej značky televízorov má kritické slabiny, ktoré dovoľujú útočníkovi ovládnuť vaše zariadenie.
Bezpečnostní experti z Bitdefender odhalili niekoľko slabín, ktoré sa týkajú operačného systému WebOS na smart televízoroch výrobcu LG.
V rámci analýzy odhalili chyby vo WebOS verziách 4 až 7. Ide o slabiny, ktoré umožnia root prístup k smart TV po obídení autorizačného mechanizmu. Ohrozený mechanizmus je pôvodne určený len pre LAN prístup, no bezpečnostní experti zistili, že viac ako 91-tisíc smart televízorov odhaľuje ohrozenú službu cez internet.
WebOS riadi službu, ktorá dovoľuje smartfón aplikácii ThinkQ ovládať smart televízor. Ak si chce užívateľ túto aplikáciu nastaviť, potrebuje zadať PIN kód z TV do svojho smartfónu. Chyba však dovoľuje útočníkovi preskočiť tento krok a získať prístup k televízoru.
Funkcia starajúca sa o registračné žiadosti používa premennú skipPrompt. Tá platí, keď jeden z dvoch parametrov sedí s existujúcim profilom. Zároveň berie do úvahy aké povolenia sa vyžadujú a na základe toho sa rozhodne, či požiada užívateľa o PIN alebo takúto formu autentifikácie nepotrebuje.
Na LG smart TV môžeme požiadať o vytvorenie účtu bez povolení. Tento účet sa automatický vytvorí. Následne vieme požiadať o ďalší účet s udelenými povoleniami, no špecifickujeme premennú companion-client-key, ktorú sme dostali, keď sme vytvorili prvý účet bez povolení. Server potvrdí, že kľúč existuje ale neoverí, či patrí správnemu účtu. Následne sa vytvorí účet bez vyžiadania PIN kódu.
Neprehliadnite
Aktualizujte si operačný systém
Po vytvorení účtu s povoleniami má útočník otvorené dvere k množstvu rozličných útokov. Bezpečnostní experti vysvetľujú, že táto slabina existuje na verziách WebOS 4.9.7, 5.5.0, 6.3.2-442 a 7.3.1-43. Spoločnosť LG túto slabinu opravila a radí, aby si majitelia LG smart televízorov aktualizovali operačný systém čo najskôr.
Cez slabiny môžu hackeri vytvoriť v televízore ďalší účet so všetkými povoleniami. Cez tieto povolenia dokážu hackeri získať plnú kontrolu nad zariadením. Ďalšia slabina umožňuje hackerom vložiť príkazy do televízora manipuláciou knižnice, ktorá zodpovedá za ukazovanie textu k pesničkám. Cez poslednú slabinu môže hacker vložiť autentifikované príkazy cez manipuláciu API endpointu.
Narušenie súkromia cez smart televízor
Nedávno aj spoločnosť Google oznámila, že pracuje na oprave bezpečnostnej slabiny, ktorá postihovala smart televízory Android TV. Ak si majiteľ TV stiahol do zariadenia prehliadač Chrome, potom mohol hocikto získať prístup k jeho súkromným mailom v Gmaili alebo súborom na Google Disku.
Android TV fungujú totiž na rovnakom OS ako smartfóny, čo znamená, že sa aj k vášmu Google účtu správajú rovnako. Stačí sa prihlásiť raz a do všetkých služieb sa prihlasujete automaticky. Problém je však to, že na rozdiel od smartfónov nemajú smart TV možnosť zabezpečiť si ich PIN kódom, odtlačkom prsta alebo vzorom.
Komentáre