Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Schwachstellen in WebOS: Hacker können Kontrolle über LG-Fernseher übernehmen

Vier neu aufgedeckte Schwachstellen in Smart TVs von LG ermöglichen es Angreifern, eigene Nutzerkonten anzulegen und diese mit Root-Rechten auszustatten.
/ Marc Stöckel
12 Kommentare News folgen (öffnet im neuen Fenster)
Vier Schwachstellen gefährden weltweit unzählige LG-Fernseher. (Bild: JUNG YEON-JE/AFP via Getty Images)
Vier Schwachstellen gefährden weltweit unzählige LG-Fernseher. Bild: JUNG YEON-JE/AFP via Getty Images

Sicherheitsforscher von Bitdefender haben vier Schwachstellen aufgedeckt, die mehrere Versionen des auf Smart TVs von LG laufenden Betriebssystems WebOS betreffen. Wie die Forscher in einem am Dienstag veröffentlichten Bericht(öffnet im neuen Fenster) erklären, können Angreifer damit einen Autorisierungsmechanismus umgehen und sich auf anfälligen LG-Fernsehern einen Root-Zugriff verschaffen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministratorinnen bzw. Systemadministratoren (m/w/d) Bundesamt für Justiz, Bonn (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Inhouse Consultant (m/w/d) für IT und Prozesse Stadtreinigung Hamburg Anstalt des öffentlichen Rechts, Hamburg (öffnet im neuen Fenster)
R&D Specialist (m/w/d) Lornamead GmbH, Hamburg (öffnet im neuen Fenster)
Allround-Buchhalter:in SAP S/4HANA (m/w/d) Wera Werkzeuge GmbH, Wuppertal (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Systemintegration (m/w/d) Südkurier GmbH Medienhaus, Konstanz (öffnet im neuen Fenster)
Wirtschaftsinformatiker als Referent der Organisationsentiwcklung (m/w/d) Handwerkskammer Rheinhessen, Mainz (öffnet im neuen Fenster)
Referent Innovative Versorgungsangebote (m/w/d) BAHN-BKK, Frankfurt (öffnet im neuen Fenster)

Zur Umgehung der Autorisierung kommt zunächst CVE-2023-6317 zum Einsatz. "Durch das Setzen einer Variablen kann der Angreifer ein zusätzliches Nutzerkonto zum TV-Gerät hinzufügen" , erklären die Forscher diesbezüglich. Anschließend lasse sich die Schwachstelle CVE-2023-6318 ausnutzen, um den neuen Benutzer mit Root-Rechten auszustatten und das Zielgerät damit "vollständig zu übernehmen" .

Dem Bericht zufolge lassen sich durch Manipulation einer Bibliothek, die für die Anzeige von Songtexten zuständig ist, Systembefehle einschleusen (CVE-2023-6319). Die vierte Sicherheitslücke (CVE-2023-6320) bezieht sich auf die Manipulation eines speziellen API-Endpunktes, wodurch ein Angreifer authentifizierte Befehle an das System übermitteln kann.

In der Regel nur über das lokale Netzwerk ausnutzbar

Die für den Erstzugriff erforderliche Schwachstelle CVE-2023-6317 bezieht sich nach Angaben der Forscher auf einen Dienst, der auf den Ports 3000/3001 (HTTP/HTTPS/WSS) läuft und von der Smartphone-App LG ThinQ zur Steuerung der WebOS-Geräte verwendet wird. Dieser ist zwar nur für die Verwendung in lokalen Netzwerken gedacht, mit einer Shodan-Suche hat Bitdefender aber dennoch weltweit mehr als 91.000 Geräte identifiziert, auf denen der Dienst über das Internet erreichbar ist.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Ist ein Fernseher erstmal kompromittiert, so kann der Angreifer den Zugriff beispielsweise nutzen, um darüber DDoS-Angriffe auszuführen, weitere Geräte im lokalen Netzwerk zu infiltrieren oder Anmeldeinformationen für auf dem Smart-TV verwendete Streamingdienste abzugreifen.

Betroffene Modelle und WebOS-Versionen

Zu den betroffenen Geräten zählt Bitdefender vier verschiedene Smart-TV-Modelle von LG auf, jeweils mit unterschiedlichen WebOS-Versionsnummern:

  • LG43UM7000PLA mit WebOS 4.9.7 - 5.30.40
  • OLED55CXPUA mit WebOS 5.5.0 - 04.50.51
  • OLED48C1PUB mit WebOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50
  • OLED55A23LA mit WebOS 7.3.1-43 (mullet-mebin) - 03.33.85

Die Sicherheitsforscher meldeten die genannten Schwachstellen nach eigenen Angaben schon am 1. November 2023 an LG. Patches wurden wohl am 22. März 2024 bereitgestellt. Besitzer der genannten TV-Modelle sollten prüfen, ob ein Update für ihren Fernseher zur Verfügung steht und dieses gegebenenfalls zeitnah installieren. Eine Anleitung dafür ist auf der Webseite von LG(öffnet im neuen Fenster) zu finden.

Zur Startseite 12 Kommentare

Relevante Themen

Technik/HardwareTV & MonitoreSoftwareBetriebssystemeSecuritySicherheitslückeStreamingThinQDoS