Vulnerabilidades identificadas en LG WebOS TV

Más de 91 mil dispositivos expuestos en línea

Bitdefender, pionero en la creación del primer centro de ciberseguridad mundial especializado en hogares inteligentes, realiza auditorías regulares en dispositivos IoT populares para detectar posibles vulnerabilidades. Esta iniciativa forma parte de un esfuerzo más amplio destinado a mejorar la seguridad de los dispositivos IoT más vendidos a nivel global. El último informe de Bitdefender revela hallazgos preocupantes en el sistema operativo LG WebOS TV, utilizado en televisores LG.

Durante la investigación identificaron vulnerabilidades significativas en las versiones 4 a 7 de WebOS. Estas brechas de seguridad permiten el acceso root al televisor, sorteando el mecanismo de autorización. Aunque estos servicios vulnerables deberían ser accesibles únicamente a través de LAN, el motor de búsqueda Shodan, dedicado a la localización de dispositivos conectados a Internet, ha detectado más de 91.000 dispositivos con este servicio expuesto en línea.

Shodan Report, motor de búsqueda de dispositivos conectados a Internet.

Los investigadores de seguridad de Bitdefender han descubierto cuatro vulnerabilidades:

  • La primera vulnerabilidad permite a un atacante eludir la verificación del PIN y agregar un perfil de usuario privilegiado al televisor sin requerir la interacción del usuario. (CVE-2023-6317).
  • Otra vulnerabilidad detectada es que permite a los atacantes elevar el acceso que obtuvieron en el primer paso a root y apoderarse completamente del dispositivo ( CVE-2023-6318).
  • Una tercera vulnerabilidad (CVE-2023-6319) permite la inyección de comandos del sistema operativo manipulando una biblioteca responsable de mostrar letras de música.
  • La vulnerabilidad CVE-2023-6320 permite a un atacante inyectar comandos autenticados manipulando el punto final de la API.