Ribuan Smart TV LG Rentan Diretas Gara-Gara Celah Keamanan

Ilustrasi Smart TV 2022 dari Samsung bisa Video Call hinggabBermain game favorit Titi Kamal, credit: Unsplash/Glen

Liputan6.com, Jakarta - Sebanyak 91.000 smart TV LG rentan terhadap risiko peretasan dan pengambilalihan oleh pihak lain. Hal ini karena di smart TV LG tersebut terdapat celah kerentanan kritis yang ditemukan akhir tahun lalu.

Mengutip Ars Technica, Minggu (13/4/2024), kerentanan tersebut ditemukan pada empat model smart TV LG yang jumlahnya lebih dari 88.000 unit di seluruh dunia.

91.000 Smart TV LG Rentan Diretas, Hacker Mampu Curi Data Pengguna hingga Pasang Malware

Sebagian besar model smart TV LG yang memiliki kerentanan itu digunakan pengguna di Korea Selatan, Hong Kong, AS, Swesia, dan Finlandia.

Berikut adalah keempat model TV LG yang di dalamnya terdapat celah kerentanan:

LG43UM7000PLA running webOS 4.9.7 - 5.30.40
OLED55CXPUA running webOS 5.5.0 - 04.50.51
OLED48C1PUB running webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50
OLED55A23LA running webOS 7.3.1-43 (mullet-mebin) - 03.33.85

Menurut perusahaan keamanan Bitdefender --yang menemukan celah kerentanan-- hacker jahat bisa mengeksploitasi celah tersebut untuk mendapatkan akses ke perangkat dan memberikan perintah yang bisa dijalankan di OS tersebut.

Celah kerentanan ini memengaruhi layanan internal yang memungkinkan pelanggan mengontrol TV menggunakan ponsel mereka.

Hal ini membuat penyerang bisa melewati langkah-langkah otentikasi yang dirancang untuk memastikan hanya perangkat yang diotorisasi yang bisa memakai kemampuan tersebut.

Adapun keputusan LG hengkang dari bisnis smartphone ini sudah disetujui oleh dewan direksi pada hari ini. Perusahaan beralasa, keputusan ini diambil karena penjualan menurun setiap tahun dan persaingan ketat.

2 dari 3 halaman

Mungkinkan Penyerang Lakukan Root Perangkat

Peneliti Bitdefender mengatakan, "Kerentanan ini memungkinkan pihaknya mendapatkan akses root pada TV setelah melewati mekanisme autorisasi."

"Meski layanan yang rentan ini ditujukan untuk akses LAN saja, Shodan, mesin pencari untuk perangkat yang terhubung ke internet mengidentifikasi lebih daari 91.000 perangkat yang mengekspos layanan ini ke internet," kata peneliti Bitdefender.

Kerentanan utama yang memungkinkan ancaman ini terjadi terletak pada layanan yang memungkinkan TV dikendalikan menggunakan aplikasi smartphone ThinkQ dari LG ketika keduanya terhubung ke jaringan lokal yang sama.

3 dari 3 halaman

Jika Kerentanan Dieksploitasi, Ini yang Bisa Diambilalih Penyerang

Layanan ini seharusnya meminta pengguna untuk memasukkan kode PIN sebagai bukti otorisasi. Namun, kesalahan tertentu memungkinkan seseorang untuk melewati langkah verifikasi ini dan mendapatkan status pengguna berhak. Kerentanan ini dikenal dengan kode CVE-2023-6317.

Ketika penyerang mendapatkan akses kontrol ini, mereka bisa mengeksploitasi tiga celah kerentanan lainnya, antara lain:

CVE-2023-6318 yang memungkinkan penyerang meningkatkan akses mereka menjadi root.
CVE-2023-6319, yang memungkinkan untuk menyuntikkan perintah OS dengan memanipulasi sebuah pustaka untuk menampilkan lirik musik.
CVE-2023-6320, yang memungkinkan seorang penyerang menyuntikkan perintah yang terautentikasi dengan memanipulasi antarmuka aplikasi.

LG pun telah menghadirkan update yang bisa diakses pengguna keempat model TV di atas melalui menu Setting.