Стало відомо, що в операційній системі LG webOS для телевізорів є вразливості, які можуть використовуватись для отримання доступу зловмисників.
Вразливість відкривають шлях до привілейованих низькорівневих API системного оточення телевізорів LG. Щоб здійснювати атаку, достатньо запустити непривілейовану програму. Вона буде звертатися до внутрішніх API і дозволятиме перезаписати/прочитати довільні файли або виконати інші дії.
Те, що вразливості можна експлуатувати, вже перевірили на телевізорі LG 65SM8500PLA із прошивкою на базі webOS TV 05.10.30.
Як пояснює Opennet, суть першої вразливості полягає в тому, що за замовчуванням відправлення повідомлень до webOS дозволено лише системним сервісам. Однак «дірка безпеки» дозволяє оминути це обмеження. Друга вразливість пов’язана з тим, що через звернення до API “luna://com.webos.notification/createAlert” з параметрами onclick, onclose або onfail можна запустити будь-який обробник і, наприклад, отримати виклик системного сервісу Download Manager.