Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

www.tuoitre.vn -   03/04/2024 12:00:00 49

Bốn lỗ hổng trong hệ điều hành WebOS chạy trên smart TV của LG đã được phát hiện bởi các nhà nghiên cứu bảo mật. Khi khai thác các lỗ hổng này, tin tặc có thể truy cập và kiểm soát trái phép ở các mức độ khác nhau trên TV bị ảnh hưởng.

Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

Hacker có thể khai thác các lỗ hổng này và sử dụng dịch vụ chạy trên cổng 3000/3001, hiện được dùng để kết nối điện thoại thông minh bằng mã PIN, để tạo tài khoản tùy ý trên thiết bị.

Bốn lỗ hổng trên smart TV của LG được nhóm nghiên cứu đưa ra gồm:

CVE-2023-6317: Cho phép kẻ tấn công bỏ qua cơ chế phân quyền của TV và thêm người dùng mà không cần đến sự đồng ý của người dùng.

CVE-2023-6318: Giúp tin tặc giành quyền truy cập root sau khi thực hiện CVE-2023-6317.

CVE-2023-6319: Chèn lệnh vào hệ điều hành và thực thi lệnh tùy ý.

CVE-2023-6320: Khai thác API để thực thi lệnh với tư cách là người dùng dbus, một quyền tương tự root.

Hàng chục ngàn tivi thông minh LG có nguy cơ bị tấn công từ xa từ lỗ hổng trong WebOS

Theo các chuyên gia bảo mật, có khoảng 91.000 thiết bị LG dính lỗ hổng. Các phiên bản bị ảnh hưởng gồm:

-WebOS 4.9.7 - 5.30.40 chạy trên dòng TV 43UM7000PLA

-WebOS 04.50.51 - 5.5.0 trên TV OLED55CXPUA.

-WebOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB.

-WebOS 03.33.85 - 7.3.1-43 trên OLED48C1PUB, OLED55A23LA.

Công ty bảo mật phát hiện lỗ hỗng cũng cho biết đã báo cho LG sau khi phát hiện lỗ hổng cuối năm ngoái. Tuy vậy, phải đến cuối tháng 3, LG mới ra bản cập nhật đầu tiên để khắc phục. Người dùng có thể vào Cài đặt > Hỗ trợ > Cập nhật phần mềm > Kiểm tra cập nhật.

LG hiện chưa đưa ra bình luận nào.

Theo Bleeping Computer, kẻ xấu có thể lợi dụng vấn đề bảo mật trên TV làm điểm tấn công thiết bị khác kết nối cùng một mạng, đánh cắp những tài khoản trực tuyến, và làm botnet (mạng máy tính ma) cho phương thức tấn công từ chối dịch vụ DDoS hoặc bị âm thầm cài đặt phần mềm đào tiền số.

 

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 194
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 163
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 166
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 176
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 147
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 86
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ