Ribuan Smart TV LG Rentan Diretas Gara-Gara Celah Keamanan

harfam.co.id, Jakarta – Sekitar 91.000 smart TV LG berisiko diretas dan diambil alih oleh pihak ketiga. Itu karena smart TV LG memiliki kelemahan serius yang ditemukan akhir tahun lalu.

Menurut Ars Technica, Minggu (13/4/2024), kerentanan ini ditemukan di empat model smart TV LG yang berjumlah lebih dari 88.000 di seluruh dunia.

Sebagian besar model smart TV LG yang rentan digunakan oleh pengguna di Korea Selatan, Hong Kong, AS, Swedia, dan Finlandia.

Berikut empat model TV LG yang memiliki kerentanan: webOS 4.9.7 – 5.30.40 OLED55CXPUA, webOS 5.5.0 – 04.50.51 OLED48C1PUB, webOS 6.3.3-442 yang menjalankan LG43UM7000PLA (kisscur.) –60. OLED55A23LA menjalankan webOS 7.3.1-43 (mullet-mebin) – 03.33.85

Menurut perusahaan keamanan Bitdefender, yang menemukan kerentanan tersebut, peretas jahat dapat menggunakan kerentanan tersebut untuk mendapatkan akses ke perangkat dan mengeluarkan perintah yang dapat dijalankan pada sistem operasi.

Kerentanan ini mempengaruhi layanan internal yang memungkinkan pelanggan mengontrol TV mereka menggunakan ponsel.

Hal ini memungkinkan penyerang untuk melewati langkah-langkah otentikasi yang dirancang untuk memastikan bahwa hanya perangkat resmi yang dapat menggunakan kemampuan ini.

Peneliti Bitdefender: “Kerentanan ini memungkinkan Anda melakukan root pada TV Anda setelah melewati mekanisme otorisasi.”

“Meskipun layanan rentan ini dirancang untuk akses LAN saja, Shodan, mesin pencari untuk perangkat yang terhubung ke Internet, telah mengidentifikasi lebih dari 91.000 perangkat yang mengekspos layanan ini di Internet,” kata peneliti Bitdefender.

Kerentanan utama yang memungkinkan munculnya ancaman ini adalah layanan yang memungkinkan TV dikontrol menggunakan aplikasi smartphone LG ThinkQ ketika keduanya terhubung ke jaringan lokal yang sama.

Layanan akan mengharuskan pengguna untuk memasukkan PIN sebagai bukti otorisasi. Namun, beberapa kesalahan mungkin membuat seseorang mengabaikan langkah verifikasi ini dan mendapatkan status pengguna yang valid. Kerentanan ini disebut CVE-2023-6317.

Ketika penyerang mendapatkan kendali atas akses ini, mereka dapat mengeksploitasi tiga kerentanan tambahan, termasuk: CVE-2023-6318, yang memungkinkan penyerang mendapatkan akses root. CVE-2023-6319, yang memungkinkan injeksi perintah OS melalui kontrol perpustakaan untuk menampilkan lirik musik. CVE-2023-6320, yang memungkinkan penyerang memasukkan perintah yang diautentikasi dengan memanipulasi antarmuka aplikasi.

LG juga meluncurkan pembaruan yang dapat diakses oleh pengguna keempat model TV di atas melalui menu Pengaturan.