作为全球首个智能家居网络安全中心的创建者,Bitdefender 定期审核热门 IoT 硬件是否存在漏洞。本研究论文是更广泛的计划的一部分,旨在揭示全球最畅销的 IoT 产品的安全性。本报告涵盖了在研究 LG WebOS 电视操作系统时发现的漏洞。
我们发现 LG 电视上运行的 WebOS 版本 4 至 7 存在多个问题。这些漏洞让我们在绕过授权机制后获得了电视的 root 访问权限。尽管存在漏洞的服务仅用于 LAN 访问,但互联网连接设备搜索引擎 Shodan 发现有超过 91,000 台设备将此服务暴露给互联网。
漏洞一览
Bitdefender 研究人员发现一个漏洞,攻击者可以利用该 荷兰 whatsapp 数据 漏洞绕过 WebOS 版本 4 至 7 中的授权机制。通过设置变量,攻击者可以为电视机添加额外的用户(CVE-2023-6317)
另一个漏洞允许攻击者将他们在第一步中获得的访问权限提升为 root 并完全接管设备(CVE-2023-6318)
第三个漏洞(CVE-2023-6319)通过操纵负责显示音乐歌词的库允许操作系统命令注入。
易受攻击的操作系统版本
2023 年 11 月 1 日:供应商披露
2023 年 11 月 15 日:供应商确认这些漏洞。
2023 年 12 月 14 日:供应商请求延期
2024 年 3 月 22 日:补丁发布
2024 年 4 月 9 日:本报告公开发布
对发现的漏洞进行技术分析
WebOS 在端口 3000/3001 (HTTP/HTTPS/WSS) 上运行一项服务,LG ThinkQ 智能手机应用程序使用该服务来控制电视。要设置该应用程序,用户必须在电视屏幕上输入 PIN 码。帐户处理程序中的错误可让攻击者完全跳过 PIN 验证并创建特权用户配置文件。
处理帐户注册请求的函数使用一个名为skipPromptclient-key的变量,当参数或参数对应于现有配置文件时,该变量设置为 true companion-client-key。在决定是否提示用户输入 PIN 时,它还会考虑请求的权限,因为在某些情况下不需要确认。
我们可以请求创建一个没有权限的帐户,该帐户将自动获得授权。然后我们请求另一个具有提升权限的帐户,但我们指定companion-client-key 变量以匹配我们创建第一个帐户时获得的密钥。服务器将确认此密钥存在,但不会验证它是否属于正确的帐户。因此,skipPrompt变量将为真,并且将创建帐户而无需在电视上请求 PIN 确认。
该漏洞编号为 CVE-2023-6317,已确认影响 webOS 4.9.7、5.5.0、6.3.3-442 和 7.3.1-43。
在创建了无需用户交互的特权帐户后,我们现在可以访问以前无法访问的大型攻击面。我们发现了两个经过身份验证的命令注入漏洞,它们可导致 root 访问权限,另一个漏洞可作为 dbus 用户运行命令。