Webos

Uma vulnerabilidade crítica foi identificada nos sistemas LG WebOS TV, permitindo que atacantes não autorizados contornem a autenticação e assumam o controle administrativo completo do dispositivo. A falha, revelada durante a competição TyphoonPWN 2025, afeta modelos como o LG WebOS 43UT8050 e possivelmente outras versões do WebOS. O problema reside no daemon do serviço de navegador, que escuta automaticamente na porta TCP 18888 quando um dispositivo USB é conectado. Isso expõe um endpoint de API HTTP que, devido à falta de validação adequada do parâmetro de caminho, permite ataques de travessia de diretório. Um invasor pode acessar arquivos arbitrários no sistema de arquivos sem autenticação, transformando a interface de compartilhamento de arquivos da TV em uma porta dos fundos. A coleta de chaves de autenticação armazenadas pode permitir que atacantes se façam passar por dispositivos legítimos, ativando o modo de desenvolvedor e instalando aplicativos maliciosos. A LG já reconheceu a falha e lançou uma atualização de firmware para corrigir a vulnerabilidade. Os usuários são aconselhados a verificar e instalar a atualização imediatamente, além de evitar conectar dispositivos USB não confiáveis até que a atualização seja aplicada.