Categorias: Sem categoria

Vulnerabilidades encontradas em smart TVs LG com webOS que permitem sobrescrever arquivos

A empresa alemã de segurança cibernética Recurity Labs publicou informações sobre duas vulnerabilidades na plataforma webOS que alimenta as TVs inteligentes da LG. Usando essas falhas, um invasor pode baixar, ler e substituir arquivos arbitrários no dispositivo.

Fonte da imagem: lg.com

A primeira vulnerabilidade afeta o componente de notificação do Notification Manager. Por padrão, o envio de notificações no webOS é limitado apenas aos serviços do sistema, enquanto os aplicativos não privilegiados de terceiros não têm acesso a esse recurso. No entanto, essa limitação é contornada chamando o comando luna-send-pub (com.webos.lunasendpub), que permite que softwares arbitrários de terceiros funcionem com notificações.

A segunda vulnerabilidade complementa a primeira: chamando a API “luna://com.webos.notification/createAlert” usando os parâmetros onclick, onclose ou onfail, torna-se possível iniciar qualquer handler, inclusive chamando o serviço de sistema Download Manager, cujos privilégios são bastante altos, para carregar e salvar arquivos arbitrários. Em teoria, isso dá ao invasor acesso ilimitado ao sistema.

Os especialistas do Recurity Labs confirmaram a possibilidade de explorar vulnerabilidades na TV LG 65SM8500PLA rodando webOS TV 05.10.30. A divisão LG Product Security foi notificada oficialmente da presença das violações já em 11 de novembro de 2021, mas não houve resposta. As vulnerabilidades não foram registradas oficialmente e não foram tomadas medidas para fechá-las. Portanto, a empresa alemã esperou o padrão de 90 dias, que expirou em 10 de fevereiro de 2022, e divulgou informações sobre sua descoberta em 2 de março.

avalanche

Postagens recentes

A Sony estava desenvolvendo um controle DualShock com o primeiro PlayStation integrado, mas o projeto foi cancelado.

Um ex-desenvolvedor da Sony apresentou um protótipo do console PlayStation Puga, que nunca chegou ao…

38 minutos atrás

Os robôs ainda têm muito espaço para melhorar antes de se tornarem vizinhos seguros para os humanos.

Os desenvolvedores de robôs humanoides estão ansiosos para demonstrar progressos significativos em seu desenvolvimento, mas,…

6 horas atrás

A decisão da Sony de parar de lançar jogos em disco irá remodelar permanentemente o mercado de jogos.

A recente decisão da Sony de interromper o lançamento de jogos para seus consoles em…

7 horas atrás

As autoridades indianas exigiram que o Telegram tome medidas decisivas em 15 dias para combater a disseminação de conteúdo pirateado.

Em junho, as autoridades reguladoras indianas já haviam bloqueado temporariamente o Telegram, alegando a necessidade…

8 horas atrás

A NVIDIA disponibilizou discretamente a plataforma Omniverse gratuitamente, mas há um porém.

A NVIDIA anunciou discretamente mudanças no licenciamento da plataforma NVIDIA Omniverse. De acordo com a…

14 horas atrás