A empresa alemã de segurança cibernética Recurity Labs publicou informações sobre duas vulnerabilidades na plataforma webOS que alimenta as TVs inteligentes da LG. Usando essas falhas, um invasor pode baixar, ler e substituir arquivos arbitrários no dispositivo.
Fonte da imagem: lg.com
A primeira vulnerabilidade afeta o componente de notificação do Notification Manager. Por padrão, o envio de notificações no webOS é limitado apenas aos serviços do sistema, enquanto os aplicativos não privilegiados de terceiros não têm acesso a esse recurso. No entanto, essa limitação é contornada chamando o comando luna-send-pub (com.webos.lunasendpub), que permite que softwares arbitrários de terceiros funcionem com notificações.
A segunda vulnerabilidade complementa a primeira: chamando a API “luna://com.webos.notification/createAlert” usando os parâmetros onclick, onclose ou onfail, torna-se possível iniciar qualquer handler, inclusive chamando o serviço de sistema Download Manager, cujos privilégios são bastante altos, para carregar e salvar arquivos arbitrários. Em teoria, isso dá ao invasor acesso ilimitado ao sistema.
Os especialistas do Recurity Labs confirmaram a possibilidade de explorar vulnerabilidades na TV LG 65SM8500PLA rodando webOS TV 05.10.30. A divisão LG Product Security foi notificada oficialmente da presença das violações já em 11 de novembro de 2021, mas não houve resposta. As vulnerabilidades não foram registradas oficialmente e não foram tomadas medidas para fechá-las. Portanto, a empresa alemã esperou o padrão de 90 dias, que expirou em 10 de fevereiro de 2022, e divulgou informações sobre sua descoberta em 2 de março.
Um ex-desenvolvedor da Sony apresentou um protótipo do console PlayStation Puga, que nunca chegou ao…
A fábrica da Tesla em Xangai é única não apenas por ter sido construída em…
Os desenvolvedores de robôs humanoides estão ansiosos para demonstrar progressos significativos em seu desenvolvimento, mas,…
A recente decisão da Sony de interromper o lançamento de jogos para seus consoles em…
Em junho, as autoridades reguladoras indianas já haviam bloqueado temporariamente o Telegram, alegando a necessidade…
A NVIDIA anunciou discretamente mudanças no licenciamento da plataforma NVIDIA Omniverse. De acordo com a…