warriorweeknow, Jakarta – 91.000 smart TV LG rentan diretas dan dicuri oleh pihak ketiga. Itu karena smart TV LG memiliki kelemahan kritis yang ditemukan akhir tahun lalu.
Mengutip Ars Technica, pada Minggu 13/4/2024, kerentanan ditemukan di total lebih dari 88.000 smart TV LG di empat model di seluruh dunia.
Sebagian besar model TV pintar LG yang terkena dampak digunakan oleh konsumen di Korea Selatan, Hong Kong, Amerika Serikat, Swedia, dan Finlandia.
Berikut empat model TV LG yang terkena dampak kerentanan ini: webOS 4.9.7 – 5.30.40 OLED55CXPUA, webOS 5.5.0 – 04.50.51 OLED48C1PUB, dan LG43UM7000PLA yang menjalankan webOS 6.3.2keiss-4. OLED55A23LA (mullet-mebin) dengan webOS 7.3.1-43 – 33.03.85
Menurut perusahaan keamanan Bitdefender, yang menemukan kerentanan tersebut, peretas jahat dapat menggunakan kerentanan tersebut untuk mendapatkan akses ke perangkat dan mengeluarkan perintah yang berjalan di sistem operasi.
Kerentanan ini memengaruhi layanan internal yang memungkinkan pengguna mengontrol TV menggunakan ponsel mereka.
Hal ini memungkinkan penyerang melewati langkah autentikasi yang dirancang untuk memastikan bahwa hanya perangkat resmi yang dapat menggunakan fitur ini.
Peneliti Bitdefender mengatakan: “Kerentanan ini memungkinkan dia mendapatkan akses root ke TV setelah melewati mekanisme otorisasi.”
“Meskipun layanan rentan ini hanya ditujukan untuk akses LAN, Shodan, mesin pencari untuk perangkat yang terhubung ke Internet, telah mendeteksi lebih dari 91.000 perangkat yang memperkenalkan layanan ini ke Internet,” kata peneliti Bitdefender.
Kerentanan utama yang menciptakan ancaman ini adalah TV dapat dikontrol oleh aplikasi smartphone ThinkQ LG ketika keduanya terhubung ke jaringan lokal yang sama.
Layanan akan meminta pengguna untuk memasukkan PIN sebagai konfirmasi otorisasi. Namun, beberapa bug memungkinkan seseorang melewati langkah verifikasi ini dan mendapatkan status pengguna yang sesuai. Kerentanan ini dikenal sebagai CVE-2023-6317.
Setelah penyerang mendapatkan kontrol akses ini, tiga kerentanan lainnya dapat dieksploitasi, termasuk CVE-2023-6318, yang memungkinkan penyerang mendapatkan akses root. CVE-2023-6319 memungkinkan perpustakaan memasukkan perintah sistem operasi dengan menampilkan lirik. CVE-2023-6320 memungkinkan penyerang memasukkan perintah yang diautentikasi dengan memanipulasi antarmuka aplikasi.
LG telah merilis pembaruan yang dapat diakses oleh pengguna keempat TV yang disebutkan di atas melalui menu Pengaturan.
