Bitdefenderの研究者たちは、LGのスマートテレビの複数モデルで使用されているオペレーティングシステムであるLG webOSにおいて、4つの脆弱性を発見した。これらの脆弱性は、ローカルエリアネットワーク内で使用されることを意図しているにもかかわらず、約91,000台のデバイスが外部からの不正アクセスやテレビセットの乗っ取りに対して脆弱であることがスキャンによって示された。
脆弱性は、コマンドインジェクション、権限昇格、およびバイパスの脆弱性の混合であり、CVE-2023-6317、CVE-2023-6318、CVE-2023-6319、CVE-2023-6320として追跡されている。例えば、CVE-2023-6317は攻撃者がテレビセットに追加のユーザーを追加することを可能にし、CVE-2023-6318はユーザーが最初のステップで得たアクセスを使用してデバイスを完全に乗っ取ることを可能にする。
これらは、webOS 4.9.7-5.30.40が実行されているLG43UM7000PLA、webOS 5.5.0-04.50.51が実行されているOLED55CXPUA、webOS 6.3.3-442 (kisscurl-kinglake)-03.36.50が実行されているOLED48C1PUB、およびwebOS 7.3.1-43 (mullet-mebin)-03.33.85が実行されているOLED55A23LAに影響を与える。
研究者たちは2023年11月にLGにその発見を報告し、LGは先月になってようやくセキュリティアップデートをリリースした。脆弱性やそれを修正するためのアップデートについて警告されていない影響を受けるユーザーは、テレビの「設定」に行き、「サポート」を選択し、「ソフトウェアアップデート」に進んで、「アップデートを確認」をクリックするべきである。
【ニュース解説】
Bitdefenderの研究者たちが、LGのスマートテレビのオペレーティングシステム、LG webOSにおいて4つの脆弱性を発見しました。これらの脆弱性は、本来ローカルエリアネットワーク内でのみ使用されることを意図していましたが、約91,000台のデバイスが外部からの不正アクセスやテレビセットの乗っ取りに対して脆弱であることが明らかになりました。
これらの脆弱性は、コマンドインジェクション、権限昇格、バイパスの脆弱性で構成されており、それぞれCVE-2023-6317、CVE-2023-6318、CVE-2023-6319、CVE-2023-6320として識別されています。例えば、CVE-2023-6317を利用すると、攻撃者はテレビセットに新しいユーザーを追加することができ、CVE-2023-6318を利用すると、デバイスを完全に乗っ取ることが可能になります。
これらの脆弱性は、異なるバージョンのwebOSが搭載された複数のLGスマートテレビモデルに影響を及ぼします。研究者たちはこの問題を2023年11月にLGに報告し、LGは先月セキュリティアップデートをリリースしました。しかし、すべての影響を受けるユーザーがこのアップデートについて通知されているわけではないため、対象となるユーザーは自身でアップデートを確認し、適用する必要があります。
この発見は、スマートテレビやその他のIoTデバイスが、日常生活においてますます重要な役割を果たすようになる中で、セキュリティが重要な課題であることを改めて浮き彫りにしています。スマートテレビが乗っ取られると、プライバシーの侵害や、テレビを通じた追加の攻撃への足掛かりとなる可能性があります。このような脆弱性の存在は、デバイスのセキュリティを確保するために、定期的なソフトウェアアップデートがいかに重要であるかを示しています。
また、この問題は、製造業者がセキュリティの脆弱性に迅速に対応し、ユーザーに対して適切な情報提供とサポートを行うことの重要性を強調しています。消費者としては、購入したデバイスのセキュリティ状態を定期的にチェックし、利用可能なセキュリティアップデートを適時に適用することが、自身のデジタルセキュリティを守る上で不可欠です。
from LG Smart TVs at Risk of Attacks, Thanks to 4 OS Vulnerabilities.
