Các lỗ hổng cho phép truy cập và kiểm soát trái phép ở các mức độ khác nhau đối với tùy thiết bị bị ảnh hưởng, bao gồm việc bỏ qua ủy quyền, leo thang đặc quyền và chèn lệnh. Các cuộc tấn công tiềm ẩn tồn tại ở tính năng tạo tài khoản tùy ý trên thiết bị bằng dịch vụ chạy trên cổng 3000/3001, có sẵn để kết nối điện thoại thông minh và sử dụng mã PIN.
Thống kê các thiết bị TV LG bị ảnh hưởng trên toàn thế giới
Bốn lỗ hổng được mô tả tóm tắt như sau:
- CVE-2023-6317: Kẻ tấn công có thể bỏ qua cơ chế ủy quyền trong phiên bản từ WebOS 4.9.7 - 5.30.40 chạy trên dòng TV 43UM7000PLA, WebOS 04.50.51 - 5.5.0 trên TV OLED55CXPUA, WebOS 0.36.50 - 6.3.3-442 trên OLED48C1PUB và WebOS 03.33.85 - 7.3.1-43 trên OLED48C1PUB, OLED55A23LA.
- CVE-2023-6318: Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền root và chiếm quyền kiểm soát hoàn toàn thiết bị
- CVE- 2023-6319: Lỗ hổng cho phép chèn lệnh vào hệ điều hành bằng cách thao túng thư viện chịu trách nhiệm hiển thị lời bài hát.
- CVE-2023-6320: Lỗ hổng cho phép kẻ tấn công chèn các lệnh đã xác thực bằng cách thao túng điểm cuối API, cho phép thực thi lệnh với tư cách là người dùng dbus, có quyền tương tự như người dùng root.
Bitdefender cho biết đã phát hiện lỗ hổng cuối năm ngoái và báo cho LG. Tuy vậy, phải đến cuối tháng 3/2024, hãng mới đưa ra bản cập nhật đầu tiên để khắc phục.
Mặc dù, TV LG sẽ có thông báo cho người dùng khi có bản cập nhật WebOS quan trọng nhưng người dùng có thể không để ý và bỏ qua thống báo này. Do đó, những người dùng đang sử dụng các thiết bị TV LG trong danh sách bị ảnh hưởng nên kiểm tra cập nhật bằng cách đi tới Cài đặt > Hỗ trợ > Cập nhật phần mềm của TV > Kiểm tra cập nhật. Tại đây người dùng hãy kiểm tra xem thiết bị của mình đã được cập nhật phiên bản mới nhất hay chưa hoặc có thể bật tính năng tự động cập nhật phiên bản WebOS mới nhất.
Tuy thiết bị TV có chứa ít thông tin quan trọng nhưng thông qua các thiết bị này có thể cung cấp cho kẻ tấn công một bàn đạp để tiếp cận các thiết bị khác nhạy cảm hơn được kết nối với cùng một mạng. Hơn nữa, TV thông minh thường có các ứng dụng yêu cầu tài khoản, như dịch vụ phát trực tuyến, mà kẻ tấn công có thể đánh cắp để chiếm quyền kiểm soát các tài khoản đó.
Để giảm thiểu rủi ro bị tin tặc lợi dụng thiết bị TV thông minh để tấn công mạng, người dùng có thể thực hiện các cách thức sau:
- Phân đoạn mạng: Cách ly TV thông minh trên một phân đoạn mạng riêng để hạn chế tương tác với các thiết bị khác.
- Giám sát thường xuyên: Theo dõi mọi hoạt động bất thường trên TV hoặc mạng mà TV được kết nối.
- Thường xuyên cập nhật phần mềm từ nhà cung cấp: Thực hiện theo các thông báo của LG để biết thông tin cập nhật về lỗ hổng bảo mật và áp dụng các bản vá khi được cung cấp.
Sự cố này như một lời nhắc nhở rõ ràng về những thách thức bảo mật ngày càng tăng trong bối cảnh các thiết bị Internet of Things (IoT) ngày càng phát triển. Khi nhiều thiết bị được kết nối hơn, khả năng vi phạm an toàn thông tin sẽ tăng lên. Các nhà sản xuất và người dùng phải ưu tiên bảo mật thông tin để phòng tránh trước sự truy cập trái phép của tội phạm mạng.
Quốc Trường
10:00 | 10/04/2024
10:00 | 10/04/2024
13:00 | 17/10/2024
14:00 | 09/12/2024
Sáng 9/12, nhiều người dùng Facebook tại Việt Nam cho biết họ đã gặp phải một lỗi hiển thị khó hiểu khi sử dụng mạng xã hội này.
15:00 | 28/11/2024
Theo Bloomberg, Apple đang lên kế hoạch nâng cấp AI cho Siri, hướng đến việc đưa trợ lý ảo này đạt khả năng cạnh tranh trực tiếp với các chatbot hàng đầu như ChatGPT của OpenAI hay Gemini Live của Google.
10:00 | 28/11/2024
Sau thời gian thử nghiệm dành riêng cho người dùng trả phí, OpenAI chính thức cung cấp ChatGPT Search miễn phí cho tất cả người dùng.
10:00 | 20/11/2024
Theo tài liệu thực thi pháp luật gửi đến lãnh đạo các cơ quan hành pháp, cảnh sát và các chuyên gia pháp y trên khắp nước Mỹ do 404Media thu thập được, những chiếc iPhone được bảo quản an toàn vẫn có thể tự khởi động lại, gây khó khăn cho việc điều tra và thu thập chứng cứ.
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025