Выбирай : Покупай : Используй
0

В операционной системе WebOS найдено сразу несколько уязвимостей. Под ударом 90 тыс. телевизоров LG

Любой телевизор с функцией Smart TV работает на той или иной операционной системе (ОС). В частности, в телевизорах LG используется ОС WebOS. Помимо детального описания проблемы разработчик антивирусов Bitdefender опубликовал и рекомендации.

Найдена незащищенность в ОС

Исследователи из Bitdefender обнаружили четыре уязвимости в нескольких версиях WebOS — ОС, используемой в умных телевизорах LG. Эти недостатки позволяют злоумышленникам получить несанкционированный доступ и контроль над устройствами на разных уровнях, включая обход авторизации, повышение привилегий и инъекцию команд.

Уязвимости основаны на возможности создавать произвольные аккаунты на устройстве с помощью сервиса, работающего через порты 3000/3001, предназначенные для подключения смартфонов при помощи PIN-кода. Проведенные интернет-сканы выявили 91 тыс. устройств, доступных онлайн и потенциально подверженных этим уязвимостям.

Bitdefender сообщили LG о своих выводах в ноябре 2023 г., но лишь только марте 2024 г. поставщик выпустил обновления безопасности для ОС. Затронутые пользователи, которые не были предупреждены об уязвимостях или обновлениях для их исправления на апрель 2024 г., должны перейти в «Настройки» телевизора, затем «Поддержка» и «Обновление программного обеспечения», а затем нажать «Проверить наличие обновлений».

Краткий обзор уязвимостей

По данным Bitdefender ошибки представляют собой сочетание уязвимостей внедрения команд, повышения привилегий и обхода и отслеживаются. На апрель 2024 г. Common Vulnerability Scoring System (CVSS) - открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет ее исправления. Например, CVE-2023-6317 может позволить злоумышленнику добавить к телевизору дополнительного пользователя, а CVE-2023-6318 может позволить пользователю использовать доступ, «полученный на первом этапе, для получения root-прав и полного контроля над устройством».

90000 телевизоров LG стали новой мишенью для взлома

CVE-2023-6317 - обход механизма авторизации телевизора, позволяющий добавить дополнительного пользователя без надлежащей авторизации. CVSS 7.2. CVE-2023-6318 - повышение привилегий до уровня root после получения первоначального доступа. CVSS 9.1. CVE-2023-6319 - внедрение команд ОС путём манипулирования библиотекой, отвечающей за отображение текстов музыкальных произведений. CVSS 9.1. CVE-2023-6320 - аутентифицированное выполнение команд от имени пользователя dbus с привилегиями, схожими с root. CVSS 9.1.

Выявленным уязвимостям подвержены конкретные версии ОС WebOS на следующих моделях телевизоров такие, как WebOS с 4.9.7 по 5.30.40 на LG43UM7000PLA, WebOS с 4.9.7 по 5.30.40 на LG43UM7000PLA, WebOS с 04.50.51 по 5.5.0 на OLED55CXPUA; WebOS с 0.36.50 по 6.3.3-442 на OLED48C1PUB и WebOS с 03.33.85 по 7.3.1-43 на OLED55A23LA.

Операционная система WebOS

WebOS - ОС LG, на которой реализована технология LG Smart TV. С WebOS была разработана еще в 2009 г. компанией Palm для планшетов и смартфонов. Основана данная ОС на Linux. А в 2010 г. права на ОС WebOS выкупает компания Hewlett Packard и в 2012 г. она открывает свободный доступ к ОС. Открытый код ОС позволил использовать ее на любых других устройствах, в том числе и на телевизорах с функцией Smart TV, и позволил другим компаниям разрабатывать приложения под данную ОС. С 2013 года компания LG в сотрудничестве с Palma стала использовать ОС WebOS в своих современных Smart телевизорах.

В 2018 г. компания LG представила версию webOS с открытым исходным кодом, которая официально называется WebOS Open Source Edition (OSE). Проект размещен на GitHub и доступен по лицензии Apache версии 2.0. WebOS OSE включает в себя базовую архитектуру webOS, но добавляет и другие функции для поддержки более разнообразных вертикальных рынков, включая робототехнику, автомобилестроение и умные дома. WebOS OSE активно разрабатывается сообществом партнеров, программистов и других участников.

Ядро webOS содержит набор сервисов для запуска приложений, управления устройствами, подключения к сетям и выполнения других операций. ОС также включает в себя системную шину - канал, который позволяет приложениям взаимодействовать со службами ОС. Кроме того, webOS поддерживает Connect SDK, платформу с открытым исходным кодом, которая позволяет мобильным приложениям подключаться к нескольким платформам устройств, предоставляя разработчикам большую гибкость при создании своих мобильных приложений.

Операционная система WebOS, используемая компанией LG, считается одной из лучших на апрель 2024 г. Отличается WebOS от других ОС графическим интерфейсом, который не только яркий, но и удобный за счет расположения приложений в нижней части экрана. Программы в WebOS не закрывают основное пространство для вывода картинки, как и другие ОС, WebOS выполняет роль мультимедийной платформы.

К тому же ОС телевизоров LG WebOS определяет подключенные устройства и предоставляет возможность взаимодействия с ними. Например: управление умным домом или вывод на экран телевизора данных с других устройств, в том числе USB-накопителей, для просмотра фото или видео. Можно создать локальную сеть для работы с другими устройствами с помощью приложения Smart Share.

Комментарии