An diversen TV-Geräten von LG gibt es eine recht dramatische Sicherheitslücke. Sie kann dazu führen, dass Angreifer den Fernseher kontrollieren können. LG hat nun ein baldiges Update für betroffene Geräte bestätigt.
So wurden wir direkt von LG Electronics zu dieser Thematik kontaktiert und mit einem Statement versorgt. Wir stellen es euch weiter unten natürlich in voller Länge zur Verfügung. Demnach stellt man klar, dass TV-Geräte des Jahres 2021 nicht von dem Problem betroffen seien. Allerdings betreffe es alle Modelle mit webOS 4.0, 4.5 und 5.0. Dazu zählen dann beispielsweise auch beliebte Modellreihen wie die B9 und C9 aus dem Jahr 2019 oder aber die Pendants BX und CX aus dem Jahr 2020.
LG stellt da nun einen Rundumschlag in Aussicht: Man wolle alle betroffenen Modelle bald mit einem Firmware-Update versorgen, dass die Sicherheitslücke schließe. So unschön die Thematik also ist, man kann LG dennoch ein Lob aussprechen, da hier sehr schnell reagiert wurde. Wann die Verteilung der neuen Firmware wiederum konkret starten soll, wird aber noch nicht angegeben.
Was konnte denn nun passieren? Nun, würden Angreifer die Sicherheitslücke ausnutzen, könnten sie den kompletten Fernseher quasi übernehmen. Um den Exploit zu verwenden, würde es ausreichen, wenn jemand im selben Netzwerk von einem anderen Endgerät aus auf eine infizierte Website zugreift. Es muss also nicht direkt am TV geschehen.
Die Stellungnahme von LG
Folgende Stellungnahme hat uns LG Electronics nun übermittelt:
„LG wurde darauf aufmerksam gemacht, dass über den Entwicklermodus möglicherweise auf LG TVs mithilfe eines Geräts, welches sich in demselben Netzwerk befindet, zugegriffen werden kann. LG entwickelt derzeit ein Firmware-Update, um diese Sicherheitslücke zu beheben. Das Firmware-Update wird für alle LG TV-Modelle mit der webOS-Version 5.0, 4.5 und 4.0 bereitgestellt. Die 2021er TV-Modelle sind nicht betroffen.
Bei der Entwicklung von LG TVs wird immer größter Wert auf die Sicherheit der Kundendaten gelegt. Diese Daten werden verschlüsselt auf dem Gerät und auf dem Server gespeichert, sodass der Zugriff über unautorisierte Server nicht möglich ist.“
Da sollten also bald Updates für diverse TV-Modelle anrollen. Wir halten euch auf dem Laufenden.
Achtung hierbei handelt es sich um eine Lücke die nur aus dem lokalen Netz + LG Dev Account funktioniert. Dementsprechend ist dies keine Gefahr für den Nutzer selbst, sondern nur für LG die nicht wollen dass die Nutzer root Rechte erlangen. Wer Spielereien wie Ambilight nachrüsten ohne dumme HDMI Capture Cards oder installieren von eigenen Apps mag sollte NICHT updaten. Solche Lücken sind enorm selten und werden wahrscheinlich nicht mehr für die genannten Modelle auftreten.
Ich vermute da das Update jetzt schon kommt, wird es demnächst die Infos gibt wie man sein TV rooten kann.
„Dementsprechend ist dies keine Gefahr für den Nutzer selbst, sondern nur für LG die nicht wollen dass die Nutzer root Rechte erlangen.“
Das gilt aber nur, wenn die Nutzer dann wirklich wissen, was sie tun. Ich würde mir solche Spielereien selbst nicht ohne Weiteres zutrauen.
Musst du auch nicht, ändert nix an der Aussage. Denn „der Angreifer“ muss erstens an dein TV dran und sich einloggen in sein LG Account und dann muss er auch noch im selben Netz sein wie dein TV.
Hier von schwere Sicherheitslücke zu sprechen ist absolut übertrieben. Um sein Handy mit dem TV zum Steuern zu verbinden geht viel einfacher und das wird dann als Feature verkauft.
Musst du ja auch nicht, dennoch wollen bestimmt viele root auf ihrem TV haben. Ich sage nur die Aussage von LG ist faktisch falsch und wollte nur aufklären wer daran Interesse hat und es nicht mitbekommen hat.
Mein LG E9 mit WebOS 4.5 hat heute ein Update installiert. Ob es das oben genannte Thema betrifft weiß ich nicht…
Oh… danke für die Info. Wenn das so kommt, dann hat LG etwas Pluspunkte gesammelt nach der aggressiven Ausspielung von Werbung…
Meiner ist von Juni 2016 mit weOS 4.0. Ist der davon auch betroffen?
„Das Firmware-Update wird für alle LG TV-Modelle mit der webOS-Version 5.0, 4.5 und 4.0 bereitgestellt. Die 2021er TV-Modelle sind nicht betroffen.“
Das sollte deine Frage beantworten.
Welches Modell hatte denn im Juni 2016 bereits WebOS4.0? Das hat doch erst die 2018er-Generation erhalten.
Exakt, die 6er-Generation hat WebOS 3.0, nicht 4.0.
Danke für den Hinweis!
Finde ich echt gut von LG.
Ich möchte meinen CX ungern vom Netz nehmen. Der hat einfach die beste Apple TV+ App und eine der besten Netflix-Apps, die mir zur Verfügung stehen.