Algunos modelos de televisores LG, están afectados por una significativa brecha de seguridad que podría permitir a atacantes hacerse con el control del dispositivo de forma remota. Se trata de una vulnerabilidad descubierta por la compañía de seguridad Bitdefender que afecta a aproximadamente 90.000 TVs de la marca. Así puedes saber si tu modelo está afectado y cómo protegerte.
La vulnerabilidad está presente en el sistema de autorización que incluyen las Smart TV de LG en las versiones de 4 a 7 de WebOS, y esta, concretamente, permite “omitir por completo la verificación del PIN y crear un perfil de usuario privilegiado”, asegura Bitdefender.
Los atacantes pueden acceder al televisor de forma remota a través de la app ThinQ, que permite gestionar y configurar el televisor desde el móvil, tan solo creando un usuario adicional sin permisos de administrador y luego, aprovechando la brecha de seguridad, solicitando permisos de administrador.
Habiendo creado una cuenta privilegiada sin interacción del usuario, ahora tenemos acceso a una gran superficie de ataque que antes era inaccesible. Hemos encontrado dos vulnerabilidades de inyección de comandos autenticadas que conducen al acceso de root y otra que ejecuta comandos como usuario dbus.
Los hackers pueden aprovechar esta vulnerabilidad para, entre otras cosas, instalar apps maliciosas en los televisores LG que consigan robar información personal, tales como datos bancarios.
¿Qué televisores LG están afectados?
Al parecer, la vulnerabilidad afecta a un total de cuatro modelos de televisores LG: LG43UM7000PLA, OLED55CXPUA, OLED48C1PUB y OLED55A23LA. Puedes comprobar el número de modelo de tu televisor en la pegatina que se incluye detrás del dispositivo, en la propia caja o a través del menú de configuración de WebOS.
Por suerte, LG ya ha corregido el fallo mediante un parche que ya está disponible en los mencionados dispositivos. Para instalarlo, solo es necesario acceder al menú de ajustes del televisor y buscar el apartado de actualizaciones. Después, comprueba si existe una actualización para tu modelo e instálala cuanto antes; no debería tardar más de unos minutos.
La vulnerabilidad, además, no parece haber sido explotada activamente, pues para que los atacantes puedan acceder al televisor mediante la app, necesitan que el smartphone que vayan a utilizar esté conectado a la misma red Wi-Fi que la propia TV.