Domingo, Mayo 22, 2022

TODAS las Smart TV de LG se pueden hackear a través de Internet y de la TDT

lg-smart-tv-rootmytv

Las Smart TV cuentan con todo tipo de mecanismos de protección ante vulnerabilidades. Algunas incluso integran antivirus para evitar que les entre malware, y todas sus apps son analizadas con detenimiento. Sin embargo, siempre acaban descubriéndose vulnerabilidades, por lo que algunas personas prefieren no conectar los televisores a Internet. El problema es que han conseguido hackear unas a distancia sin ni siquiera tenerlas conectadas a Internet.

La vulnerabilidad ha sido descubierta por el hacker David Buchanan, también conocido como retr0id. Este fallo consiste en una ejecución de código remoto a través del estándar DVB-T. Es decir, que la emisión del exploit se realiza a través de la señal que le llega a la TDT a través de la toma de antena. No hace falta ni que la tele esté conectada a Internet para poder aprovechar la vulnerabilidad.

Se hackea a través de DVB-T y HbbTV

El fallo consiste en ejecutar scripts para generar una transmisión de DVB-T con metadatos de HbbTV, el estándar que usa LovesTV. Con esos scripts, se carga una página web encima de la señal de vídeo, que contiene un exploit V8 n-day. Buchanan afirma que ahora lo único que necesita es encontrar otra vulnerabilidad que le permita escalar privilegios en el televisor para obtener un control aún más absoluto.

El exploit funciona en una Smart TV LG de 2019. Hasta ahora, este tipo de ataques requerían que la Smart TV estuviese conectada a Internet, pero ahora sólo basta con que esté encendida. Buchanan afirma que también puede ser posible hackear una tele que esté apagada, pero tiene que seguir haciendo pruebas al respecto.

El fallo está sin parchear todavía en los televisores de LG, cuya última actualización fue lanzada el pasado 13 de enero. La vulnerabilidad ha sido publicada el 14 de enero, por lo que LG no ha tenido tiempo de arreglarla todavía. Aunque el fallo se ha explotado en una tele de 2019, Buchanan afirma que el fallo puede explotarse en modelos de 2020 y 2021. No obstante, estos modelos usan versiones de Chrome más recientes como navegador, por lo que se necesitará un exploit n-day diferente.

En el vídeo que Buchanan ha subido a su cuenta de Twitter se puede ver cómo se puede obtener control casi total del televisor, mostrando notificaciones, mensajes, e incluso eligiendo el vídeo que se quiera reproducir en él.

La vulnerabilidad echa por tierra todos esos comentarios que dicen que «si te preocupa tu privacidad, no conectes la tele a Internet». Ahora, es posible hackear las teles de LG sin que estén conectadas a Internet. No obstante, se puede mitigar el fallo desactivando la función de inicio automático de HbbTV, aunque Buchanan afirma que en DVB sigue habiendo muchas otras vulnerabilidades.

Ahora puede rootearse cualquier tele de LG

Con este exploit es posible rootear las teles de LG. Hay una herramienta llamada RootMyTV, la cual permite aprovechar más cómodamente la vulnerabilidad para instalar el Homebrew Channel en un televisor tras rootearlo. Gracias a ello, se pueden instalar aplicaciones no autorizadas y creadas por la comunidad, como Moonlight para jugar en remoto a tus juegos de PC (ya que webOS no tiene la app de Steam Link), YouTube con funciones mejoradas, RetroArch para jugar a emuladores, y muchas más que llegarán en el futuro.

lg-rootmytv

Tras la vulnerabilidad, han actualizado RootMyTV a la versión 2.0, donde, con sólo entrar a la web de rootmy.tv desde un televisor LG, ya es posible rootearlo para instalar aplicaciones en él. Todos los modelos de LG actuales se pueden rootear con este método, incluyendo los actualizados a la versión 04.30.57 lanzada esta semana. Las actualizaciones automáticas del sistema se desactivan tras rootear por si hay algún problema con las actualizaciones. En el caso de que quieras eliminar el root, tan sólo tienes que hacer un Factory Reset del televisor para dejarlo de nuevo a como estaba de fábrica, por lo que el método es bastante seguro.

 

Fuente: adslzone

¿Quién está en línea?

Hay 83 invitados y ningún miembro en línea

Contador de Visitas

13458102
Hoy Hoy 158
Ayer Ayer 1258
Esta semana Esta semana 8042
Este mes Este mes 29827
Total de Visitas Total de Visitas 13458102

Día con más
visitantes

05-04-2022 : 1731

Gracias por su visita