Nel panorama della sicurezza informatica, il 2024 ha segnato un nuovo campanello d’allarme per l’universo IoT: Bitdefender ha scoperto quattro gravi vulnerabilità nel sistema operativo WebOS, installato su milioni di Smart TV LG. Le versioni colpite vanno dalla 4 alla 7, rilasciate tra il 2018 e il 2022. Queste falle consentono a un attaccante remoto di ottenere accesso non autorizzato, eseguire codice arbitrario, elevare i privilegi fino al root e muoversi lateralmente nella rete domestica.
Le vulnerabilità nel dettaglio:
Le quattro vulnerabilità sono state catalogate con i codici CVE-2023-6317, CVE-2023-6318, CVE-2023-6319 e CVE-2023-6320. Tre di queste sono considerate critiche. Il primo exploit consente di bypassare l’autenticazione e aggiungersi come utente alla TV. Il secondo permette l’elevazione dei privilegi fino al livello root. Il terzo consente l’iniezione di comandi arbitrari tramite una libreria musicale. Il quarto sfrutta le API LAN per ottenere permessi equivalenti al root tramite dbus.
Impatti sulla sicurezza
Una volta compromessa, la Smart TV diventa una porta d’ingresso per attacchi più ampi. L’hacker può installare malware, spiare il traffico di rete, accedere a webcam collegate e persino rubare credenziali salvate. Bitdefender ha stimato che oltre 91.000 dispositivi LG WebOS sono esposti direttamente su Internet, nonostante il sistema sia concepito per operare in LAN. Questo espone migliaia di famiglie e aziende a rischi concreti.
Come agisce un attaccante:
Un attaccante può iniziare con una scansione su Shodan per individuare TV LG esposte. Una volta trovata una versione vulnerabile, può sfruttare CVE-2023-6317 per aggirare il PIN e aggiungersi come utente. Da lì, può usare CVE-2023-6318 per ottenere accesso root, quindi CVE-2023-6319 per eseguire comandi arbitrari. Infine, CVE-2023-6320 consente di controllare il dispositivo tramite API LAN, anche senza accesso fisico.
Test etico: cosa può fare un ethical hacker?
Un ethical hacker può ricreare un ambiente di test in LAN, simulando una TV LG vulnerabile. Può verificare l’aggiunta utente tramite ThinQ API, testare l’elevazione dei privilegi e monitorare l’iniezione di comandi. È fondamentale non testare su dispositivi reali non autorizzati. L’obiettivo è comprendere il rischio, contribuire alla sicurezza e sensibilizzare gli utenti.
Mitigazioni consigliate
Bitdefender ha collaborato con LG per rilasciare patch correttive a marzo 2024. Tuttavia, molti utenti non hanno aggiornato i dispositivi. Ecco le misure consigliate:
- Aggiornare WebOS all’ultima versione disponibile
- Disattivare l’esposizione WAN del dispositivo
- Proteggere il router con firewall e firmware aggiornato
- Segmentare la rete domestica, isolando i dispositivi IoT
- Scollegare webcam e microfoni non necessari
- Monitorare il traffico LAN per attività sospette
Ulteriori informazioni:
Le vulnerabilità in WebOS evidenziano quanto sia fragile l’ecosistema IoT quando la sicurezza non è una priorità. Le Smart TV, spesso considerate innocue, possono diventare vettori di attacco sofisticati. La responsabilità è condivisa: i produttori devono garantire aggiornamenti tempestivi, gli utenti devono applicarli, e i professionisti della sicurezza devono vigilare.
Per gli ethical hacker, questo caso rappresenta un’opportunità per studiare un attacco reale, comprendere le dinamiche di escalation e contribuire alla difesa. La sicurezza non è mai statica: ogni dispositivo connesso è un potenziale bersaglio. E ogni vulnerabilità è una lezione da imparare.