В телевизорах LG нашли уязвимость для взлома системы хакерами

Уязвимость открывают путь к привилегированным низкоуровневым API системного окружения телевизоров LG. Чтобы совершать атаку, достаточно запустить непривилегированное приложение. Оно будет обращаться ко внутренним API и позволять перезаписать/прочитать произвольные файлы или выполнить другие действия.

То, что уязвимости можно эксплуатировать, уже проверили на телевизоре LG 65SM8500PLA с прошивкой на базе webOS TV 05.10.30.

Как поясняет Opennet, суть первой уязвимости заключается в том, что по умолчанию отправка уведомлений в webOS разрешена только системным сервисам. Однако «дыра безопасности» позволяет обойти данное ограничение. Вторая уязвимость связана с тем, что через обращение к API "luna://com.webos.notification/createAlert" с параметрами onclick, onclose или onfail можно запустить любой обработчик и, например, добиться вызова системного сервиса Download Manager.