Стало известно, что в операционной системе LG webOS для телевизоров есть уязвимости, которые могут применяться для получения доступа злоумышленников.
Уязвимость открывают путь к привилегированным низкоуровневым API системного окружения телевизоров LG. Чтобы совершать атаку, достаточно запустить непривилегированное приложение. Оно будет обращаться ко внутренним API и позволять перезаписать/прочитать произвольные файлы или выполнить другие действия.
То, что уязвимости можно эксплуатировать, уже проверили на телевизоре LG 65SM8500PLA с прошивкой на базе webOS TV 05.10.30.
Как поясняет Opennet, суть первой уязвимости заключается в том, что по умолчанию отправка уведомлений в webOS разрешена только системным сервисам. Однако «дыра безопасности» позволяет обойти данное ограничение. Вторая уязвимость связана с тем, что через обращение к API «luna://com.webos.notification/createAlert» с параметрами onclick, onclose или onfail можно запустить любой обработчик и, например, добиться вызова системного сервиса Download Manager.
Источник ferra