Investigadores han identificado cuatro fallas en diferentes versiones del sistema operativo WebOS, con el que funcionan televisores de la marca LG, que afectaban a una decena de países, entre ellos España, con casi 1.000 usuarios comprometidos, y que ya se han corregido con un parche de seguridad.
Una de estas vulnerabilidades, identificada como CVE-2023-6317, afectaba a las versiones 4.9.7, 5.5.0, 6.3.3-442 y 7.3.1-43 de WebOS y permitía a los ciberdelincuentes obtener acceso 'root' al televisor después de eludir el mecanismo de autentificación.
Tras añadirse como nuevo usuario en el televisor y comprometer el equipo, el atacante podía inyectar 'malware' -como ladrones de información, 'ransomware', etc.- y moverse lateralmente a través de una red doméstica inteligente.
Los investigadores de Bitdefender, que han elaborado un informe con estas fallas, han explicado que el sistema operativo de los televisores LG ejecuta un servicio en los puertos 3000/3001 (HTTP/HTTPS/WSS) que utiliza la aplicación para móviles LG ThinkQ para controlar los televisores.
Para configurar esta 'app', el usuario debe ingresar un código PIN en la pantalla, de modo que un error en este administrador de contraseñas permite al atacante omitir la verificación de estas credenciales y crear un perfil de usuario privilegiado.
Bitdefender ha concretado que la función que maneja las solicitudes de registro de cuentas utiliza una variable llamada skipPrompt, que determina los parámetros que corresponden a un perfil ya existente, con código 'client-key' o 'companion-client-key'.
Tras crear una cuenta sin permisos, que se concede de forma automática, los atacantes podían crear una cuenta con privilegios indicando la última de estas variables, para que coincidiera con la clave obtenida al crear la primera cuenta.
Entonces, el servidor confirmaría la existencia de esta contraseña, pero no verificaba si pertenecía a la cuenta correcta, de modo que la variable skipPrompt sería la empleada los ciberdelincuentes al crearse sin solicitar la confirmación del número PIN en el televisor.
Los analistas también han señalado comentado en su blog que otra de las fallas (CVE-2023-6318 para WebOS 5.5.0, 6.3.3-442 y 7.3.1-43) permitía a los ciberdelincuentes apoderarse por completo del dispositivo.
Una tercera vulnerabilidad (CVE-2023-6319 para WebOS 4.9.7, 5.5.0, 6.3.3-442 Y 7.3.1-43) brindaba a los atacantes la inyección de comandos del sistema operativo manipulando una biblioteca contenedora de letras de canciones.
Por último, la vulnerabilidad CVE-2023-6320 -que afectaba a WebOS 5.5.0 y 6.3.3-442- ofrecía a los atacantes la oportunidad de inyectar comantos autentificados manipulando el punto final de la interfaz de programación de aplicaciones (API), así como la cuenta de GitHub asociada a la plataforma de 'bots' de Discord Top.gg.
Los investigadores han indicado que, empleando el motor de búsqueda Shodan, descubrieron que estas fallas afectaban a un total de 91.938 propietarios de televisores LG. De ellos, 963 son españoles, según el reporte de esta compañía de ciberseguridad. también se encuentran entre los afectados usuarios de Corea (50.315), Estados Unidos (6.789) y Finlandia (6.359), entre otros.
Conviene señalar que todas ellas, descubiertas a principios de noviembre de 2023, ya se han corregido con el lanzamiento de un parche de seguridad por parte de la compañía tecnológica LG. Por tanto, los usuarios de estos televisores deben asegurarse de que están ejecutando la última actualización de WebOS.
Actualización
Desde el departamento de comunicación de LG se han puesto en contacto con Escudo Digital para expresar su punto de vista de lo sucedido a través del siguiente comunicado:
"Nuestro sistema operativo webOS es, desde su nacimiento, de los más seguros de todo el mercado. Todas las aplicaciones a descargar o a desarrollar para los televisores de LG se gestionan directamente desde nuestros propios servidores, ubicados en Corea, para evitar cualquier tipo de riesgo y eliminar de forma instantánea posibles virus o malware.
"LG es una marca de referencia en el mercado de los televisores, creadora y líder mundial en tecnología OLED. Por eso, en muchas ocasiones nuestros dispositivos son examinados por terceros en cuestiones como la ciberseguridad. En el caso del análisis publicado, realizado de forma controlada desde una determinada red WiFi, cabe destacar que se detectaron posibles incidencias solo en cuatro modelos de nuestros televisores y que no fue posible acceder a ningún otro dispositivo conectado a una red diferente. A pesar de tratarse de una situación puntual, en cuanto tuvimos conocimiento de ello inmediatamente activamos los protocolos de seguridad correspondientes -tanto internos como externos- y en marzo lanzamos un parche para subsanarlo. La seguridad y privacidad de los datos de nuestros clientes son una prioridad máxima para LG, que trabaja siempre para evitar, controlar y solventar a la mayor brevedad cualquier posible situación de vulnerabilidad".