Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Można przejąć pełną kontrolę nad wybranymi telewizorami LG (dostęp root). Bez posiadania żadnych danych dostępowych.

11 kwietnia 2024, 09:54 | W biegu | komentarzy 8
Tagi: ,

Bitdefender opisuje całą serię podatności w LG WebOS. jednej strony wymaga to aby telewizor był udostępniony do Internetu, z drugiej strony badacze pokazali blisko 90000 telewizorów LG udostępnionych do netu… Jak widać poniżej, również w Polsce są fani wystawiania TV do internetu…


Przechodząc do szczegółów, pierwsza podatność umożliwia stworzenie uprzywilejowanego konta na telewizorze. Realizuje to appka, która umożliwia sterowanie telewizorem. Appka łączy się do telewizora korzystając z portów 3000/3001 (usługi HTTP/HTTPS) – i właśnie w tym miejscu jest problem.

Normalnie przy tworzeniu konta na TV (z poziomu appki) wymagane jest podanie kodu PIN, który pojawia się na TV. Ale w przypadku próby stworzenia konta z 'bez uprawnień’ nie ma takiego wymogu. Więc krok pierwszy za nami. Stworzone konto bez uprawnień, dla którego TV wygenerował wartość przechowywaną w parametrze companion-client-key

Teraz wystarczy stworzyć konto z uprawnieniami, ale sztucznie dokładając do żądania HTTP wartość zdobytą w poprzednim kroku (companion-client-key). TV myśli, że konto jest już założone, więc omija krok z wyświetleniem / weryfikacją PINu. Ale w kolejnym kroku: zaraz, konto jednak nie istnieje… więc jest tworzone. No więc mamy już konto z uprawnieniami bez konieczności podawania PINu.

Dalej jest już prosto. Badacze będąc zalogowani, trochę poklikali (zdalnie) po appce na telewizorze i znaleźli command injection. Czyli coś w rodzaju: zuploadujmy plik to-tylko;/sbin/reboot;-test.mp3 i zobaczmy co się stanie. Nota bene: tych command injectionów zostało znalezionych w sumie aż trzy.

Otrzymali w ten sposób uprawnienia root.

22 marca 2024 producent wypuścił patcha łatającego luki.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Grzegorz

    Mam LG i podłączony jest do internetu aby móc korzystać z netflixa i całej reszty. Nie rozumiem zdziwienia tym, że tv jest widoczny w sieci.

    Odpowiedz
    • udostępniony do Internetu != podłączony do Internetu

      Odpowiedz
    • Rafał

      Jeśli masz telewizor podłączony do internetu, przez domowy router z normalnymi ustawieniami firewall’a, to telewizor widzi internet, a internet nie widzi telewizora.

      W artykule jest mowa o tysiącach frajerów, którzy mają tak beznadziejnie skonfigurowany internet (na routerze/firewallu), że ich telewizory LG widać z internetu.

      Odpowiedz
      • Lukasz.N

        Nie no wierzę, że ktoś przypadkiem przekierował odpowiednie porty na routerze.

        Raczej problem dotyczy osób, które mają włączony uPNP na routerze i sparowali apkę z TV do sterowania.

        Założę się, że na większości routerów od operatora uPNP jest domyślnie włączone.

        Odpowiedz
        • Bartek

          Moim zdaniem to mogą być urządzenia u operatorów z uruchomionym IPv6 dla klienta.
          Jak wiadomo, w IPv6 z założenia podłączony do Internetu = udostępniony do Internetu.

          Odpowiedz
  2. Szymon

    Kiedyś był jeden pilot i uprawnienia miał ten kto go trzymał.

    Odpowiedz
    • pukcab

      Był to root. Zdarzały się ataki – gdy ojciec zasnął, dochodziło do prób przejęcia uprawnień roota, przechwytując pilot. Czasami się udawało, ale nie zawsze. Skuteczność ataku odznaczała się dużą losowością w zależności od tego, gdzie był pilot i na ile atakujący zdołał się przedostać niezauważony w okolice celu ataku.
      Nawet skuteczny atak mógł skończyć się niepowodzeniem po próbie pierwszego użycia pozyskanych uprawnień celem zmiany kanału.
      Ale plusem było, że atak był skuteczny na całkowicie dowolny model TV. Konieczna była jednak fizyczna obecność.

      Odpowiedz
    • Marcin

      Racja xD

      Odpowiedz

Odpowiedz