สมาร์ททีวี LG มีช่องโหว่ ทำทีวีมีสิทธิ์โดนแฮก

ความเสี่ยงของการใช้งานอุปกรณ์สมาร์ทดิไวซ์ของผู้ใช้ตามบ้านนับวันจะเพิ่มมากขึ้นเรื่อยๆ ล่าสุดนักวิจัยของ Bitdefender ออกมาเผยว่าค้นพบช่องโหว่ในระบบปฏิบัติการ webOS ที่มีใช้งานอยู่ในสมาร์ททีวีของ LG ที่ทำให้ทีวีของผู้ใช้อาจโดนแฮกผ่านอินเทอร์เน็ตได้

ทั้งนี้มีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายประการใน webOS ที่ติดตั้งอยู่ในสมาร์ททีวีของ LG ซึ่งสามารถนำไปใช้ในการเลี่ยงผ่านการอนุญาตและเข้าถึงรูทบนอุปกรณ์ได้

ซึ่งทีมนักวิจัยได้มีการแจ้งไปทาง LG ตั้งแต่เดือนพฤษจิกายน 2023 และช่องโหว่ทั้งหมดได้รับการแก้ไขเรียบร้อยแล้วจากการอัปเดทล่าสุดของ LG เมื่อวันที่ 22 มีนาคมที่ผ่านมา

ช่องโหว่ CVE-2023-6317 ถึง CVE-2023-6320 ส่งผลกระทบต่อ webOS เวอร์ชันต่างๆ ประกอบด้วย

webOS 4.9.7 – 5.30.40 ทำงานบนทีวีรุ่น LG43UM7000PLA

webOS 5.5.0 – 04.50.51 ทำงานบนทีวีรุ่น OLED55CXPUA

webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 ทำงานทีวีรุ่นบน OLED48C1PUB

webOS 7.3.1-43 (mullet-mebin) – 03.33.85 ทำงานบนทีวีรุ่น OLED55A23LA

โดยช่องโหว่แต่ละแบบมีรายละเอียดเบื้องต้นดังนี้

CVE-2023-6317 – ช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามการตรวจสอบ PIN และเพิ่มโปรไฟล์ผู้ใช้ที่มีสิทธิ์ลงในเครื่องทีวีโดยไม่ต้องมีการโต้ตอบจากผู้ใช้

CVE-2023-6318 – ช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและเข้าถึงรูทเพื่อควบคุมอุปกรณ์ได้

CVE-2023-6319 – ช่องโหว่ที่อนุญาตให้มีการแทรกคำสั่งระบบปฏิบัติการโดยการจัดการไลบรารีชื่อ asm ที่รับผิดชอบในการแสดงเนื้อเพลง

CVE-2023-6320 – ช่องโหว่ injection of authenticated commands ที่อนุญาตรันคำสั่งบนอุปกรณ์ได้

อย่างไรก็ตาม ช่องโหว่ดังกล่าวจะมีผลกับอุปกรณ์ที่เชื่อมอินเทอร์เน็ตผ่านสาย LAN แต่เบื้องต้นนักวิจัยก็สแกนพบอุปกรณ์ที่มีช่องโหว่ดังกล่าวมากถึง 91,000 เครื่อง โดยส่วนใหญ่ตั้งอยู่ในเกาหลีใต้ ฮ่องกง สหรัฐอเมริกา สวีเดน ฟินแลนด์ และลัตเวีย

ที่มา : thehackernews