LG智能电视WebOS系统存在安全漏洞

　一、事件详情

　　LG智能多个WebOS版本存在的4个安全漏洞，这些漏洞对超过9万台的LG智能电视构成了潜在威胁。攻击者可以利用这些漏洞提升权限并注入命令，进而在未经用户授权的情况下实现远程访问和控制LG智能电视。这一发现引起了广大智能电视用户的关注与担忧。

　　根据Shodan互联网扫描结果，有超过91000台对应型号设备联网，其来自的国家和地区包括韩国、中国香港、美国、瑞典、芬兰等。LG公司的中国大陆官网搜索了上述型号设备，存在漏洞的产品目前并未在大陆市场进行销售。

　二、影响版本

　　LG43UM7000PLA，运行 webOS 4.9.7 - 5.30.40 版本;

　　OLED55CXPUA，运行 webOS 04.50.51 - 5.5.0

　　OLED48C1PUB，运行 webOS 0.36.50 - 6.3.3-442

　　OLED55A23LA，运行 webOS 03.33.85 - 7.3.1-43

　三、漏洞详情

　　CVE-2023-6317：允许攻击者利用变量设置绕过电视机的授权机制，在未获得适当授权的情况下向电视机添加额外用户。

　　CVE-2023-6318：是一个权限提升漏洞，允许攻击者在CVE-2023-6317提供初始未授权访问后获得root访问权限。

　　CVE-2023-6319:涉及通过操纵负责显示歌词的库执行操作系统命令注入，允许执行任意命令。

　　CVE-2023-6320:允许利用com.webos.service.connectionmanager/ tv / setVlanStaticAddress API终端进行验证命令注入，从而以dbus用户身份执行命令，而dbus用户拥有与root用户类似的权限。

　四、安全建议

　　随着家用电器产品智能化的快速发展，一方面其所采集、存储的个人信息种类和数量大幅提高，另一方面联网与互联趋势的普遍发展，极大增加了各类软硬件系统漏洞被外部利用的风险。在选购相关物联网家电产品时，一方面要选择重视产品安全和用户隐私保护的信誉良好品牌，另一方面也要仔细了解其隐私政策和用户协议，审查设备所需的权限，避免过度授权。