Hace 4 meses | Por Uchiha_cloud a adslzone.net
Publicado hace 4 meses por Uchiha_cloud a adslzone.net

Descubren una vulnerabilidad en todas las Smart TV de LG que permite rootearlas para instalar aplicaciones como emuladores de juegos. La vulnerabilidad ha sido descubierta por el hacker David Buchanan, también conocido como retr0id. Este fallo consiste en una ejecución de código remoto a través del estándar DVB-T. Es decir, que la emisión del exploit se realiza a través de la señal que le llega a la TDT a través de la toma de antena. No hace falta ni que la tele esté conectada a Internet para poder aprovechar la vulnerabilidad.

Comentarios

sifou

Cómo mola, la tele aparte de ser pwneada es RickRolleada

Ovlak

La vulnerabilidad echa por tierra todos esos comentarios que dicen que «si te preocupa tu privacidad, no conectes la tele a Internet». Ahora, es posible hackear las teles de LG sin que estén conectadas a Internet.

ADSLzone haciendo el ridículo como de costumbre. A ver, becario, ¿cuéntanos como va a aprovechar un juancker una vulnerabilidad para extraer datos privados a través de un canal de comunicación unidireccional?

onaj

#15 Una vez puedes instalar algo remotamente, puedes hacer que esa aplicación acceda a donde quieras y haga lo que quieras cuando esté conectada a internet.

Pero bueno, el caso es que ha ido de listillo por no leerse ni siquiera la entradilla.

Kaminasama

#18 cuando esté conectada a internet.
Es decir, que lleva razón

Aokromes

#15 si es un ataque dirigido esperar afuera de la casa del propietario de la television con un AP y conectar la television al mismo para transferir los datos.

#26
#35

Jack.Griffin

#49 Algo rebuscado pero toda la razón, aun así limita mucho la posibilidad de ataque (el hacker tiene que estar dentro del radio de un AP de la TV).
Gracias por el aporte

Aokromes

#65 mi telefono movil se conecta a la wifi de un hotel a 165m de mi casa.... la tele no he mirado.

Jack.Griffin

#73 Si no te digo que el radio puede ser razonablemente "amplio". Lo que al menos evitas es un ataque desde la otra punta del planeta

Jack.Griffin

#88 Conversación convalidada -> #73

Jack.Griffin

#82 spoiler: ya se ha hablado de esa posibilidad en #49 y posteriores.
Gracias por tu aportación

Ovlak

#18 puedes hacer que esa aplicación acceda a donde quieras y haga lo que quieras cuando esté conectada a internet.

El que no se ha leído mi comentario eres tú.

Jack.Griffin

#18 Por lo poco que he visto deovlakovlak me parece que suele leerse entradillas y hasta el artículo antes de comentar y que iban más los tiros por la interpretación que he hecho en #15.
Pero oye, si quieres tildarlo de listillo antes de darle el beneficio de la duda, yo ya no me meto

Ovlak

#64 Efectivamente, has hecho una interpretación correcta. Me temo que el medio ha hecho bastante sensacionalismo con un exploit que principalmente puede ser usado para instalar homebrew como sugiere #7 y como se usan con otras plataformas como videoconsolas o smartphones. Aunque también me temo que pocos desarrolladores van a generar software con el que se pueda aprovechar dicho exploit.

Jack.Griffin

#77 Pues visto lo visto en los comentarios y en los artículos ya está la web que te rootea la TV directamente y eso abre la puerta a todo tipo de software.
Principalmente lo que he visto es para facilitar el streaming de videos y videojuegos del PC a la TV sin dispositivos adicionales.
No subestimes la creatividad de un gamer/geek vago/tacaño

borteixo

#15 Un poco dedicado pero puedes instalarle algo que haga que sí se conecte a otra wifi y ahí siga la fiesta.

c
editado

#20 por ejemplo. Incluso puede hackear la wifi de casa y conectarse aunque el usuario no quiera

Jack.Griffin

#44 Desde la TV no creo si no está conectada de ninguna forma a la red de esa casa.

c

#66 Se podría hacer que se conectara a la WiFi doméstica.

Y una smartv sin conexión a internet no lo veo

Jack.Griffin
editado

#84 Si no es una WiFi abierta y la WiFi es "segura" sería dificil
para el resto: goto #61

c

#85 "Segura" desde un dispositivo situado en el propio hogar.... no se yo.
Por ejemplo.WPS es de amplio uso y es inseguro

Jack.Griffin

#86 De ahí mis comillas en "seguro". De todas formas, si no esta conectado de ninguna forma a la red doméstica es tan del "propio hogar" como la tv del vecino de enfrente (desde un punto de vista informático digo)

c

#87 Depende de la cobertura

Jack.Griffin

#20 Cierto, aunque imagino que tendría que ser una wifi abierta o ejecutar softwares pare explotar vulnerabilidades de redes desde la TV. Aun así, sería otra red en vez de la de la casa en la que esta la TV con lo que ya es problema de que el propietario de esa "otra wifi" proteja adecuadamente su red

borteixo

#67 spoiler: el dueño de esa otra wifi es el propio atacante.

c

#15 O sea, que te compras una smartv y no la conectas.a.internet.... ya.

Jack.Griffin
editado

#43 Oye, no seré yo el que cuestione el no usar todo el potencial de un dispositivo electrónico. Además hoy en dia la mayoria de las tv son "smart". En otras ocasiones el "smart" es tan limitado que acabas usando otro dispositivo tipo chromecast para tener las funcionalidades que deseas como deseas

D

#15 El estandard DVB-T (no asi los otros), creo que permite aplicaciones en Java.

elfary
editado

#6
Bueno, vamos a suponer que una vez tomado el control podrias hacer que se conectara a un punto de acceso que tu mismo montes y usarla para grabar al propietario cascandosela con el porno o meter un ransomware con su foto pelandosela.

Que todo esto no tiene ningun sentido? tambien.

borteixo

#10 cambia vecino cascandosela por vecina hot cascandosela.

elfary

#22

las probabilidades de ver a la vecina pelandosela son bajisimas.

sonixx

#32 pero más agradecida

c

#32 pues entonces hay que insistir muchas veces.

c

#10 Puede conectarse al AP de la casa en un número muy elevado de casos

d

#6 Se me ocurre que por ejemplo puede tener acceso al usuario/contraseña (o al menos su hash) de aplicaciones como Netflix, HBO, etc.

p

#6 Como no sea intentando hacer que la tele se conecte a alguna wifi abierta sin necesidad de clave y enviar a través de la misma esos datos, supongo que sería bastante complicado, pero ya sería raro encontrar una red wifi de esas características...

kaostias

#14 Yo me imagino que sería instalar apps a lo loco en teles, haciendo que lancen un post a una dirección de tu elección. Si se conecta a tu servidor es que la tele está configurada en la red local. De este modo la TV te proporciona un canal de entrada a la red doméstica (ojo, o empresarial). Esto valdría si tienen la tele enchufada a antena y obtienes acceso a ella o, símplemente, si la salida de antena está disponible y el atacante instala las apps con una raspberry con salida coaxial usando el protocolo DVB-T

D
editado

#38 #58 #63 #70 Os explico. En el estandard de la TDT hay un "canal" para abrir aplicaciones en Java, supongo que para el EPG. Habrán explotado alguna vulnerabilidad.

Fuente: He cacharreado con DVB y Linux desde hace eones con TVTime y VDR, y también NXTVEPG.

wikiless.org

editado:
Estaba en lo cierto . A inicios del 00 no tuve internet en casa y tuve que cacharrear muchas cosas offline con manuales.

analphabet
editado

#58 #72 El autor lo explica en twitter:



"Some more details: I'm using the scripts from this repo to generate a DVB-T transmission, with HbbTV metadata.
It loads a webpage over the top of the video feed, which contains a V8 n-day exploit. Just need to chain it with an LPE now..."

Explica también que ve posible que esto se pueda hacer offline:


MHP es una tecnología diferente, no tiene nada que ver en este caso. Aquí lo que se está haciendo es usar HbbTV para llegar hasta el browser de la tv y ejecutar un exploit. Y una vez que se ha logrado esto hay que hacer LPE (escalada local de privilegios).

sonixx

#93 yo aprecio lagunas y sin saber del tema

c

#6 Si tienes una tele como esas, que no se te ocurra conectarla a internet.

obmultimedia

#6 tienen a monos cobrando cacahuetes, que quieres? Y diles algo que el mandamas te empieza a acosar por tus redes sociales amenazandote con denunciarte, el muy mafioso.

Shinu

#60 Puede ser, pero eso de que LG de lavase las manos... Entiendo que para ellos es más cómodo y rentable decir "te aguantas", pero como consumidor no estoy contento.

Jack.Griffin

#27 Debe depender de la versión del SO de LG. Yo tengo HBO Max en mi TV LG sin problemas

e

#27 #62 yo también la tengo instalada sin problemas

trigonauta

#62 Sólo han sacado la aplicación de HBO Max para Web OS 3.5 y posteriores (televisiones vendidas a partir de 2017).

c

#38 Pues no es complicado, si hay una vulnerabilidad que.permita subir e instalar cosas solo con la señal de dvbt, la cosa es muy muy seria.

Mejor no conectar el chisme a internet nunca. Deberían devolverle el dinero a los propietarios.... Los que estén buscando zombis para sus botnets se estarán frotando las manos.

sonixx

#40 es que la noticia no explica nada, yo por lo menos entiendo que necesitas internet y de la vulnerabilidad poco dicen, porque yo puedo decir que con la electricidad puedo controlar el frigorífico de tu casa mediante descargas por el cable, sin más.

analphabet

#48 Lo pone en la noticia, que usan hbbtv y un exploit del navegador integrado de las tv.

sonixx

#56 así sin más, el hbbtv hasta que yo sepa necesitas conexión a internet, aquí la noticia es explicar cómo haces una conexión por antena exclusivamente, que deduzco que es una conexión unidireccional.

Aunque no sea mi trabajo actual, llevo alrededor de 10 años trabajando con TV digital, y no me extraña que existe una vulnerabilidad así: hay mucha complejidad interpretar las secciones de TS (transport stream).

Al final, lo que hicimos para acabar con los fallos y crashes fue usar un "fuzzer" como AFL para hallar los errores en la lógica. Creo que arreglemos unos veinte fallos o algo así, que nunca antes habíamos descubierto con métodos convencionales.

jdmf

¿Por que no me sorprende?..., de hecho... ¿Solo las LG?... he visto como los de soporte de Samsung se mueven por mi televisor como si le hubiese dejado el mando a mis hijos.!

EdmundoDantes

Ya nos avisaba Kike García sobre LG y no le hicimos caso.

r

#4 No lo he pillado, puedes explicarlo xfa?

n

#19 A cambio, mi experiencia con LG es buenisima.

AMDK6III

#30 tengo un plasma 50 pulgadas de hace 7 u 8 años, y encantadisimo

Shinu

#19 #30 #37 Dependerá de la suerte, supongo. Yo me compré una LG de 55 pulgadas y al poco apareció una mancha oscura en la parte superior de la pantalla. En escenas de acción u oscuras no se veía, pero en imágenes claras (un cielo, por ejemplo) se veía una barbaridad.

El caso es que como estaba en garantía (no tenía ni 2 meses) se lo comenté a los de LG mandándoles fotos donde la mancha se veía claramente, y los hdp me respondieron diciendo que ellos no veían nada raro y me cerraron el ticket.

Fui a hablar con los de MediaMarkt (la compré allí) y por suerte ellos se hicieron cargo. A la semana vino un técnico y dijo que el panel estaba mal y que había que reemplazarlo, se la llevó y me la volvió traer 2 o 3 días después con la pantalla cambiada.

Después de esa experiencia no creo que vuelva a comprar productos de esa marca.

D

#50 La lotería de los paneles. Pasa con todos los fabricantes.

Acido
editado

#19 #30 #37 #50 #60

Mi experiencia también ha sido buena con LG.
La conclusión que saco es que la atención al cliente es muy mala y que yo no he tenido que sufrirla, pero salvo cuando sale un producto con problemas, el producto que dan suele ser bueno.
(parece una perogrullada, pero quiero decir que el porcentaje de TV que salen malos puede ser menor,
y que si no viene con defecto, prácticamente de fábrica, desde que lo compras, entonces creo que dura bien, que no se estropea luego al pasar menos de un año o algo así, creo)

En televisores el primero fue uno para la casa de mi madre en el pueblo hacia el año 2018. Ese fue un smartTV IPS LED 40'' de precio medio comprado en Carrefour en verano. Me recomendó la marca otra persona, porque compró uno y l e fue muy bien. Después, en 2020 compré otro para mi, uno de gama tirando a alta, NanoCell 55'' (no es OLED, que costaba 1000 euros o más, pero tampoco es gama media/baja), comprado en una oferta de Black Friday en El Corte Inglés. El detalle es que costaba lo mismo (esos días de oferta, normalmente no) que en otros sitios y esta tienda me daba mejor sensación de cara a devoluciones o atención al cliente... un detalle que por lo que veo no fue ninguna mala idea. Funciona muy bien, como el primer día. Calidad de imagen, un mando a distancia especial muy cómodo que no tienen otras marcas y sin averías de momento. El tercero fue el año pasado, 2021, un LG modelo barato LED de unas 32'' para una habitación para una persona enferma que tenía que estar en cama un tiempo. Otra cosa que no tienen otras marcas es el WebOS, que reconozco que cuando compré las teles pensé que sería más seguro que AndroidTV, por ser un sistema solo de LG... pero ahora veo que no tan seguro.

RESUMEN:
* Mando LG Magic Control (no lo tienen otras marcas) : mucho más cómodo que otros.
* WebOS (no lo tienen otros, aunque Android TV / Google TV puede ser igual o incluso mejor)
* NanoCell, mejor que LED (similar a QLED de Samsung)
* Algunas características HDR10+ que no tenían otros de ese precio, y sonido potente.
* A mi no me han salido malos (hasta 3 TV LG distintos)...


También tuve un teléfono móvil LG y fue el mejor que he tenido (de la era táctil antes tuve móviles HTC, Sony... y ahora un Poco X3 que da muchos problemas). Ese móvil LG ganó el premio al mejor teléfono el año que salió y lo compré dos años después por un precio asequible. Buena cámara, bueno todo, impresionante.
Todo esto podría parecer una especie de publicidad de LG, pero no, solo cuento mi experiencia. Y he visto algunos comentarios en Amazon u otras webs de TV LG que dieron problemas... incluso el modelo NanoCell que compré yo, pero como ya se ha dicho lo que vi es que ocurre en este tipo de televisores en cualquier marca. Incluso otras marcas tenían más comentarios de problemas.

En televisores uno que no salió muy bueno, sin ser pésimo tampoco, fue uno pequeño marca Samsung que compraría hacia el año 2012 quizá. El menú de configuración era horroroso (no era SmartTV)... y el sonido poco potente aunque aceptable. Eso sí, de imagen estaba bien. Lo malo es que después de 6 años acabó dando problemas con el enchufe, se apagaba o no encendía y es porque no va bien la toma de corriente, y ahora está peor.

El que tenía en el salón antes del LG 55'' era un Sony Full HD 40'' gama alta del año 2009 o por ahí... aguantó 11 años bastante bien hasta que empezó a sobrecalentarse y se apagaba cuando saltaba un termostato (sonaba un "click" y se apagaba). Solo se podía usar unos 40 minutos... luego aparentemente el calor hacía que se apagase solo (o quizá obsolescencia programada, no sé) y había que desenchufar físicamente. Este diría que salió bueno, porque se veía [muy] bien y duró 11 años, que sin ser una exageración me parece aceptable para una tele.

Uno que devolví en 2020 fue uno marca TLC ... lo vi recomendado en Wired y en otros sitios (Kitele) como el mejor en calidad precio, pero el mando era muy malo y para la persona mayor que lo iba a usar no era aceptable tanto engorro. Por ejemplo, al encender salía un menú en lugar de salir directamente un canal... ponte a explicarle a una persona mayor. Como la pedí por Internet y podía devolverla sin dar explicación antes de 2 semanas, pues eso hice. Sin embargo, con esa probé el sistema operativo AndroidTV que me gustó bastante, incluso más que el WebOS.

----

Entre las que no probé, una marca que vi muy recomendada en calidad-precio fue HiSense pero tenía un sistema operativo propio cuya tienda no tenía muchas apps... por ejemplo, no tenía HBO. Aunque hubiese podido acceder a HBO comprando una TV Box aparte, me temo que cambiar de mando sería un engorro. Eso sí, el precio era el más bajo.

Otra marca que puede estar bien es Philips. Aunque hace dos o tres años me dio la sensación que se había quedado un poco atrás, por lo visto ha mejorado y es competitiva. Además, siendo europea y con solera me parece probable que cuide mejor el trato al cliente. Era la marca favorita de mi padre, y compraba teles y otros aparatos de esta marca. Y ahora tiene la mejor puntuación en kitele.com

E

#19 Si trabaja en el Mundo Today debe ser alguna broma que no hemos sabido interpretar.

PacoJones

#19 He intentado leerlo pero, entre que es absurdamente largo y el tío pierde el norte con ironía rebuscada, al final he tenido que leer entre líneas y he perdido el interés en su problema.

r

#19 Gracias

Jakeukalane

@admin , echa un ojo al comentario 25

Jakeukalane

#36 como si yo usase cosas de microsoft

Jakeukalane

Un poco irrelevante porque no ponen el proceso de hacerlo.

Big_che

#21 si que lo pone, entras a la web de rootmytv desde la misma tv y pinchas en rootear

Jakeukalane

#29 y qué seguridad tienes de que no te la hackeen?

Big_che

#31 la misma que cuando utilizais cualquier mierda de micro$oft, ninguna

Big_che

#79 ya lo he intentado, pero solo salen países europeos y alguno mas y la única tienda que tiene la app segun los pocos foros donde hay información es Mexico

Big_che

Pues una noticia fabulosa. Tengo una LG con webOS y las aplicaciones de su portal son un mojon, ademas de no actualizarse (se ha perpdido HBO al pasar a HBO MAX).
Con esto por lo menos hay alternativas

Jack.Griffin

#7 En eso estaba pensando yo... Oye, que no sabía que se podia rootear una tele y menos tan "fácilmente" gracias a esta vulnerabilidad
Pregunta sincera: ¿Vale la pena rootear la tele?

CatShannon

#11 Si puedes quitar los anuncios de Youtube, sí.

I

#7 Lo de HBO Max creo que nos ha pasado a todos. Son apps distintas, no es una actualización. Me ha pasado en el móvil también.

Big_che

#17 si son apps distintas, pero es que LG no ha sacado en España (en otros paises si) la app de HBO Max para sustituirla

capu

#27 cambia el país de la tienda, descargate la aplicación y vuelve a cambiar de pais la tienda.

Pablosky

#7 Yo cuando compré la mía busqué activamente una con Android TV, que no es que sea una maravilla (joder, a veces tengo que reiniciarla ) pero al menos tiene parches de seguridad y las aplicaciones molan bastante.

Big_che

#23 cuando la compre, no recuerdo bien si android TV no estaba disponbile o estaban lanzandola.
Precisamente compre LG por tener webOS que era lo mas parecido

c

#7 Lo ideal es que se.pudiera.reescrubirmel.firmware.por completo

f

#7 Nos compramos en casa una LG por 500 pavos, obviamente no teniamos ni idea sobre las smart tv. No ha sido mala compra, pero webOS tiene apps, pocas y malas. Si llevasen play google (android tv), barrian pero de calle.

thirdman
editado

Genial no veas lo que mejora una LG roteada
YouTube sin anuncios, moonlight, emuladores etc

n

alguien qeu haya hecho algo en una mierda de Uppleva de ikea? Por favor, aqui embajo contestar

T

Oye pues ni tan mal, una vez rooteada puedes instalar apps de este repo: repo.webosbrew.org

Youtube sin publicidad o desactivar la telemetría de la tele

C

Dice todas las teles de LG pero hace referencia a las posteriores a 2019, no?

C

#41 Me respondo a mi mismo, a partir de la versión 4.X.
Todas las teles de LG actuales

D
editado

🍓 Hola) Me llamo Paula y tengo 24 años) Soy una aspirante a modelo sechual 18+) Me encanta que me fotografíen deesunda) Por favor, valora mis fotos en 👉 editado

D

Un dispositivo conectado a internet y que se puede hackear? En serio? Nunca lo habría imaginado

sonixx

#2 #3 la noticia tampoco es que diga mucho de cómo es el sistema, así a ojo, si que necesitarías internet, porque sino el sistema sería como coger la tv y ponerte con un mando, un puerto usb y decir que rootean la tv por antena. Parece que por antena solo haces que puedan tener acceso a internet para completar el asunto, el tema que no explican mucho y dejan a la inventiva posibilidades en el futuro. Me intriga como podrán instalar algo solo por una señal de antena, sin intermediar en ningún momento alguien por parte del televisor. Pero dejan al aire que hasta apagado podrán, sin confirmar evidentemente que se pueda

D

#2 Titular: "TODAS las Smart TV de LG se pueden hackear a través de Internet y de la TDT"

D

#1 Ni la entradilla oye.

D
editado

#3 Cuando yo ví la entradilla, lo último no lo ponía, o no lo recuerdo.

noexisto

#3 Más bien el titular

P

#1 qué no hace falta que esté conectado a internet, creo que no lo has leído muy bien.

BM75

#1 ¿Tú comentando sin tener ni idea de lo que dices? ¿En serio? Nunca lo habría imaginado.

D
editado

#59 a ver, si, nunca he visto internet. ¿Internet no es una caja con un botón rojo? Aquí puedes ver a Jen de "IT Crowd", como nos muestra a los que no somos genios, como tú, qué es realmente internet.



En el título que cojones pone: "TODAS las Smart TV de LG se pueden hackear a través de Internet y de la TDT" que yo sepa, pone que se puede hackear por internet [eso significa que está conectado si o si], a no ser que tú seas un genio y yo no, y que se pueda hackear a través de Internet signifique otra cosa, que solo los genios pueden saberlo.

Cualquier cosa que reciba señales eléctricas, las digitalice y las traduzca a comandos internos es susceptible a ser hackeado, otra cosa es que sea más o menos dificil. Pero espera, que no tiene que ser mediante internet, mediante cualquier tipo de conexión sea inalámbrica o por cable.

Uno de mis profesores en la facultad nos dijo: "Para que un host sea seguro, habría que meterlo sin ningún tipo de conexión, en un bunker dentro de un reactor nuclear con veinte capas de seguridad, y aún dudo que sea seguro"