LG webOS: Sicherheitslücken machen ältere Smart-TVs angreifbar
von André Westphal | 11 Kommentare
Die Sicherheitsforscher von Bitdefender haben in LGs Smart-TV-Betriebssystem webOS mehrere Sicherheitslücken entdeckt. Diese Exploits machen es möglich, aus der Ferne Zugriff auf einen betroffenen Fernseher zu erlangen, neue Benutzerkonten anzulegen und sie mit weiterführenden Rechten auszustatten. Theoretisch ließen sich kompromittierte TVs durch die Angreifer komplett übernehmen.
Die gute Nachricht: Bitdefender hatte sich vor Veröffentlichung des Berichts mit LG abgesprochen, sodass bereits Ende März 2024 ein Patch erschienen ist. Haltet ihr euren Smart-TV bzw. dessen Software also immer auf dem neuesten Stand, dann droht euch keine Gefahr mehr. Obendrein greifen die Verwundbarkeiten nur bei älteren Smart-TVs bzw. webOS-Versionen und auch da nur bei spezifischen Konstellationen.
Allerdings sind durchaus verbreitete Modelle wie der bei Gamern sicher beliebte LG OLED C1 (2021) mit 48 Zoll oder der OLED CX (2020) mit 55 Zoll betroffen. Letzten Endes zeigt sich: Je mehr Aufgaben Smart-TVs übernehmen, desto mehr Risiken ergeben sich natürlich auch in den immer komplexer werdenden Betriebssystemen. Laut Bitdefender habe man über die Suchmaschine Shodan, die mit dem Internet verbundene Geräte erfassen kann, immerhin 91.000 betroffene TV-Geräte entdeckt.
LG webOS: Diese Versionen bzw. Geräte sind angreifbar
Wer sich nun fragt, welche Smart-TVs bzw. webOS-Versionen konkret angreifbar sind. Laut Bitdefender sind folgende Konstellationen betroffen:
- webOS 4.9.7 – 5.30.40 auf dem LCD-TV LG43UM7000PLA
- webOS 5.5.0 – 04.50.51 auf dem OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 auf dem OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85 auf dem OLED55A23LA
Falls ihr euch für das konkretere Angriffsprocedere interessiert, könnt ihr es bei Interesse bei Bitdefender (eingangs verlinkt) nachlesen. Es ist durchaus nicht trivial. Auch gibt es zum Glück keine Berichte darüber, dass die Sicherheitslücken bereits ausgenutzt worden wären. Ich vermute, Smart-TVs sind für Angreifer aktuell noch weniger interessante Ziele, sieht man von Bot-Netzwerken ab, als z. B. Smartphones oder PCs. An solchen Geräten lässt sich deutlich mehr Schindluder treiben bzw. sensible Daten abgreifen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Es gab für meinen E9 letzte Woche ein kleines Update auf die Version 5.30.45
Dachte mir schon so etwas. Das etwas größere Update mit dem (optionalen) Fullscreen Homescreen war dies noch nicht.
Ich hab beim C3 immer noch das Problem, das der TV immer in FullCreen Homescreen startet und kann den nicht ausschalten. Die 2 Youtube Anleitung haben Menüs die meiner nicht hat.
Ich finde diesen ganzen Smart Kram in TV´s oder mittlerweile in Monitoren Quatsch. Zuspieler wie Apple TV, Fire Tv und co sind viel günstiger und schneller ausgetauscht als ein TV.
Wenn ich sehe das der TV von meiner Freundin in 2,5 Jahren jetzt genau ein Update bekommen hat und das ganz zu Anfang kann ich echt auf den Mist verzichten. Aber da die Hersteller ja immer mehr dazu übergehen, dass man deren TV ja nicht ohne Internetverbindung offline mit einem an HDMI angeschlossenen Zuspieler nutzen kann nee danke.
Welche aktuellen TV Geräte kann man denn offline nicht nutzen?
In unseren Haushalten kommt aus Prinzip kein SmartTV (LG, Sony, Samsung) direkt ins Internet; only über AppleTV-Box und ohnehin zwischenhängendem Raspberry mit PiHole & Unbound.
Auch gut wenn man zB die Mediathek des ÖRR auf der Box nutzt; deren Datenschutz ist nämlich auch nicht berauschend.
Gibt es denn gute Dumb TVs? Mich nerven die SMart TVs nämlich auch ab, denn ich brauche quasi nur einen Monitor für das AppleTV. Ich kann mir kaum vorstellen, dass irgendjemand freiwillig diese ruckeligen Tizen WebOS Geschichten nutzt.
Nicht wirklich, einfach keine Internetverbindung an den TV (höchstens vielleicht mal temporär für ein Software Update) und das Problem ist gelöst.
Ich hab gerade Mal WebOS 3.5. Ist wohl so alt, dass es dann auch keinen mehr juckt. Die Apps kriegen noch Updates, das reicht.
Tja Smart-TV zu bewerben und dafür Geld zu verlangen um dann sich bei den Updates nach einigen Monaten oder Jahren sich aus der Verantwortung zu stehlen.
Es kommt so, dass der Käufer die Updates für 10 Jahre nachfragt oder nur auf Preis schaut und einen externen Player nutzt.
Wenn die Fernsehhersteller clever wären, würden die Hardware für die smarten Funktionen austauschbar machen und einem wenn die Updates auslaufen ein neues Hardwaremodul mit neuer Updategarantie verkaufen
Korrektur der Überschrift: „Smart-TVs sind angreifbar. Hersteller LG schließt Lücken nur für neuere Geräte“
Und wer, um Himmels Willen, hängt ein Smart TV so ins Internet, dass es mit Shodan gefunden werden kann?
Frag lieber nicht. Ich hab auch schon gesehen das Freigaben für Kaffeemaschinen gemacht wurden, das diese direkt am Internet hängen (also auch von außen)… jetzt ja auch klar, jede Bohne will vor dem mahlen nochmal was nettes sehen…