Liputan6.com, Jakarta - Sebanyak 91.000 smart TV LG rentan terhadap risiko peretasan dan pengambilalihan oleh pihak lain. Hal ini karena di smart TV LGÂ tersebut terdapat celah kerentanan kritis yang ditemukan akhir tahun lalu.
Mengutip Ars Technica, Minggu (13/4/2024), kerentanan tersebut ditemukan pada empat model smart TV LG yang jumlahnya lebih dari 88.000 unit di seluruh dunia.
Baca Juga
Sebagian besar model smart TV LG yang memiliki kerentanan itu digunakan pengguna di Korea Selatan, Hong Kong, AS, Swesia, dan Finlandia.
Advertisement
Berikut adalah keempat model TV LG yang di dalamnya terdapat celah kerentanan:
- LG43UM7000PLA running webOS 4.9.7 - 5.30.40
- OLED55CXPUA running webOS 5.5.0 - 04.50.51
- OLED48C1PUB running webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50
- OLED55A23LA running webOS 7.3.1-43 (mullet-mebin) - 03.33.85
Menurut perusahaan keamanan Bitdefender --yang menemukan celah kerentanan-- hacker jahat bisa mengeksploitasi celah tersebut untuk mendapatkan akses ke perangkat dan memberikan perintah yang bisa dijalankan di OS tersebut.
Celah kerentanan ini memengaruhi layanan internal yang memungkinkan pelanggan mengontrol TV menggunakan ponsel mereka.
Hal ini membuat penyerang bisa melewati langkah-langkah otentikasi yang dirancang untuk memastikan hanya perangkat yang diotorisasi yang bisa memakai kemampuan tersebut.
Mungkinkan Penyerang Lakukan Root Perangkat
Peneliti Bitdefender mengatakan, "Kerentanan ini memungkinkan pihaknya mendapatkan akses root pada TV setelah melewati mekanisme autorisasi."
"Meski layanan yang rentan ini ditujukan untuk akses LAN saja, Shodan, mesin pencari untuk perangkat yang terhubung ke internet mengidentifikasi lebih daari 91.000 perangkat yang mengekspos layanan ini ke internet," kata peneliti Bitdefender.
Kerentanan utama yang memungkinkan ancaman ini terjadi terletak pada layanan yang memungkinkan TV dikendalikan menggunakan aplikasi smartphone ThinkQ dari LG ketika keduanya terhubung ke jaringan lokal yang sama.
Advertisement
Jika Kerentanan Dieksploitasi, Ini yang Bisa Diambilalih Penyerang
Layanan ini seharusnya meminta pengguna untuk memasukkan kode PIN sebagai bukti otorisasi. Namun, kesalahan tertentu memungkinkan seseorang untuk melewati langkah verifikasi ini dan mendapatkan status pengguna berhak. Kerentanan ini dikenal dengan kode CVE-2023-6317.
Ketika penyerang mendapatkan akses kontrol ini, mereka bisa mengeksploitasi tiga celah kerentanan lainnya, antara lain:
- CVE-2023-6318 yang memungkinkan penyerang meningkatkan akses mereka menjadi root.
- CVE-2023-6319, yang memungkinkan untuk menyuntikkan perintah OS dengan memanipulasi sebuah pustaka untuk menampilkan lirik musik.
- CVE-2023-6320, yang memungkinkan seorang penyerang menyuntikkan perintah yang terautentikasi dengan memanipulasi antarmuka aplikasi.
LG pun telah menghadirkan update yang bisa diakses pengguna keempat model TV di atas melalui menu Setting.