Más de 91.000 televisores de la marca LG conectados a Internet quedaron expuestos a varias violaciones de seguridad. Los piratas informáticos tenían entonces la posibilidad de tomar el control remoto de televisores que ejecutaban WebOS y luego acceder a datos confidenciales.
Propietarios de televisores LG, ¡cuidado! Bitdefender informa que muchos televisores han estado expuestos a varias vulnerabilidades de seguridad. Esto potencialmente permitió a los piratas informáticos tomar el control del televisor y obtener acceso de root. Desde allí, los ciberdelincuentes podrían inyectar malware peligroso, espiar el tráfico de televisión e incluso acceder a otros dispositivos de una red doméstica.
Los mejores televisores inteligentes de LG quedaron a merced de los piratas informáticos
La empresa de ciberseguridad Bitdefender realiza periódicamente análisis de seguridad en los dispositivos de Internet de las cosas más populares. El último informe de la compañía se centra particularmente en los sistemas operativos de TV de LG. El resultado no es halagüeño para el fabricante de televisores: WebOS estaba plagado de vulnerabilidades.
Los expertos de Bitdefender identificaron más de 91.000 televisores expuestos utilizando Shodan, un motor de búsqueda para dispositivos conectados a Internet. Si bien la mayoría de los televisores LG vulnerables estaban ubicados en Corea del Sur, Bitdefender encontró miles en otras partes del mundo, especialmente en Francia.
La ironía es que son los mejores modelos de televisores LG los que se vieron afectados por estas fallas de seguridad. No en vano se trata de televisores inteligentes, es decir, dispositivos tan expuestos como nuestros smartphones o ordenadores al malware que se multiplica actualmente. Las versiones vulnerables de WebOS fueron:
- v4.9.7 a v5.30.40, en LG43UM7000PLA
- v4.50.51 a v5.5.0, en OLED55CXPUA
- v03.36.50 a v6.3.3-442, en OLED48C1PUB
- v3.33.85 a v7.3.1-43, en OLED55A23LA
Cuatro vulnerabilidades descubiertas en los televisores inteligentes LG
La vulnerabilidad CVE-2023-6317 permitía agregar un nuevo usuario a un televisor LG. Esto puede beneficiarse de los privilegios de administrador explotando otra falla, que figura bajo el nombre CVE-2023-6318. Otro más (CVE-2023-6319) permitía inyectar comandos en webOS manipulando una biblioteca utilizada para mostrar letras de canciones. Un último (CVE-2023-6320) permitió a los piratas informáticos inyectar comandos manipulando una API.
Afortunadamente, si este artículo está escrito en tiempo imperfecto, es porque LG corrigió estas fallas en una actualización implementada el 22 de marzo. Bitdefender facilitó el informe al fabricante antes de publicarlo en su blog, para evitar dar malas ideas a los ciberdelincuentes.
De todos modos, el control remoto por parte de los piratas informáticos sólo era posible en televisores LG conectados mediante un cable Ethernet. Si su televisor accede a Internet a través de Wi-Fi, nunca ha estado expuesto.