Pesquisadores da Bitdefender descobriram quatro falhas de segurança no WebOS, sistema operacional utilizado em Smart TVs da LG. O resultado disso é que mais de 90 mil Smart TV LG estão expostas a ataques remotos.
A pesquisa está detalhada no blog da Bitdefender . O total de TVs expostas deve diminuir nos próximos dias, pois usuários dessas TVs estão sendo informados no próprio aparelho sobre uma atualização de software necessária.
As falhas de segurança afetam as versões 4 a 7 do WebOS rodando em TVs LG. Essas vulnerabilidades permitem obter acesso root na TV depois de ignorar o mecanismo de autorização.
Embora o serviço vulnerável se destine apenas ao acesso à LAN, o Shodan, o mecanismo de busca para dispositivos conectados à Internet, identificou cerca de 89.000 dispositivos que expõem esse serviço à Internet .
O país com mais dispositivos afetados é a Coréia do Sul com mais de 47 mil, sendo que o Brasil tem cerca de 600:
Ao acessar o IP das TVs vulneráveis, aparece a mensagem Hello Word indicando que ela está respondendo a acessos externos:
As vulnerabilidades permitem diferentes níveis de acesso não autorizado e controle sobre os dispositivos afetados, incluindo:
- Adição de um usuário extra sem necessidade de autorização para isso
- Acesso externo à pasta raiz
- Execução de comandos arbitrários como administrador (usuário raiz)
Essas vulnerabilidades operam nas portas 3000/3001, e esse serviço foi originalmente destinado à conectividade com smartphones via PIN, estando presente em diversos modelos de Smart TVs da LG.
Embora o serviço vulnerável deva ser usado apenas em redes locais, a Bitdefender identificou cerca de 91.000 dispositivos expostos na internet que podem ser vulneráveis a essas falhas.
Se você tem uma Smart TV LG, acesse Todas as Configurações > Suporte > Atualização de Software > Verificar atualizações: