تم إطلاق الآلاف من أجهزة تلفزيون LG للعالم. إليك كيفية التأكد من عدم وجود ذلك لديك.

صور جيدة

يواجه 91 ألف جهاز تلفزيون من LG خطر طلب الشراء ما لم يتلقوا تحديثًا أمنيًا يعمل على إصلاح أربع نقاط ضعف خطيرة تم اكتشافها في أواخر العام الماضي.

تم العثور على نقاط الضعف في أربعة نماذج من أجهزة تلفزيون LG مع ما يزيد قليلاً عن 88000 وحدة حول العالم. وفق نتائج محرك بحث Shodan للأجهزة المتصلة بالإنترنت. وتقع معظم هذه الوحدات في كوريا الجنوبية، تليها هونج كونج والولايات المتحدة والسويد وفنلندا. العينات:

  • LG43UM7000PLA يعمل بنظام التشغيل webOS 4.9.7 – 5.30.40
  • OLED55CXPUA يعمل بنظام التشغيل webOS 5.5.0 – 04.50.51
  • OLED48C1PUB يعمل بنظام التشغيل webOS 6.3.3-442 (kissurl-kinglake) – 03.36.50
  • OLED55A23LA يعمل بنظام التشغيل webOS 7.3.1-43 (البوري ميبين) – 03.33.85

واعتبارًا من يوم الأربعاء، ستكون التحديثات متاحة من خلال قائمة الإعدادات الخاصة بهذه الأجهزة.

حصلت على الجذر؟

وفقًا لشركة الأمن Bitdefender، التي اكتشفت الثغرات الأمنية، يمكن للمتسللين الضارين استغلالها للوصول إلى الجذر للأجهزة وحقن الأوامر التي تعمل على مستوى نظام التشغيل. تؤثر نقاط الضعف على الخدمات الداخلية التي تسمح للمستخدمين بالتحكم في أجهزتهم باستخدام هواتفهم، مما يتيح للمهاجمين استخدام إجراءات المصادقة المصممة لضمان أن الأجهزة المصرح لها فقط هي التي تستخدم الإمكانات.

وقال باحثون في Bitdefender: “تسمح نقاط الضعف هذه بالوصول إلى الجذر على التلفزيون عن طريق تجاوز آلية المصادقة”. كتب الثلاثاء. “على الرغم من أن الخدمة الضعيفة كانت مصممة فقط للوصول إلى شبكة LAN، إلا أن Shodan، وهو محرك بحث للأجهزة المتصلة بالإنترنت، حدد 91000 جهاز يعرض الخدمة للإنترنت.”

تكمن الثغرة الأمنية الرئيسية التي تجعل هذه التهديدات ممكنة في خدمة تسمح بالتحكم في أجهزة التلفزيون باستخدام تطبيق الهاتف الذكي ThinkQ من LG أثناء الاتصال بنفس الشبكة المحلية. تم تصميم الخدمة لمطالبة المستخدم بإدخال رمز PIN لإثبات المصادقة، ولكن هناك خطأ يسمح للمستخدمين بتجاوز خطوة التحقق هذه ويصبحوا مستخدمين متميزين. يتم رصد هذه الثغرة الأمنية كما CVE-2023-6317.

READ  يمكن لـ Bart AI من Google الآن كتابة التعليمات البرمجية وتنفيذها للإجابة على سؤال - Ars Technica

وبمجرد حصول المهاجمين على هذا المستوى من التحكم، يمكنهم استغلال ثلاث نقاط ضعف أخرى، على وجه التحديد:

  • CVE-2023-6318وهذا يسمح للمهاجمين بالوصول إلى الجذر
  • CVE-2023-6319يسمح لنظام التشغيل بإدخال الأوامر عن طريق معالجة المكتبة لعرض خطوط الموسيقى
  • CVE-2023-6320يسمح هذا للمهاجم بتنفيذ أوامر مصادق عليها من خلال معالجة واجهة تطبيق com.webos.service.connectionmanager/tv/setVlanStaticAddress.

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here