News LG-Fernseher: Sicherheitslücken in webOS 4 bis 7 erfordern Updates

[Donnidonis]

Ja, weil jeder Hinz und Kunz IoT Geräte rausbringt. Wer sich für 10€ eine 4K Kamera aus China kauft, kein Wunder.

 

[cvp]

C9 besitzer Achtung, mit 05.30.45 schließt ihr euren Root Zugriff

 

[Termy]

Auch wenn mein LG nicht ans Internet darf (stimme ganz klar dem ¨IoT kram gehört in ein eigenes VLAN" zu) bin ich von den Angaben zu den betroffenen Versionen etwas irritiert - trifft das jetzt nur auf die genannten Modelle zu oder sind diese nur als Beispiel zu verstehen? Oo

 

[EMkaEL]

mein OLED65B6V ist schon etwas älter und mit version 05.70.40 und webOS 3.4.2-570910 up to date.

 

[onetwoxx]

Auch wenn mein LG nicht ans Internet darf (stimme ganz klar dem ¨IoT kram gehört in ein eigenes VLAN" zu) bin ich von den Angaben zu den betroffenen Versionen etwas irritiert - trifft das jetzt nur auf die genannten Modelle zu oder sind diese nur als Beispiel zu verstehen? Oo

Steht ja eindeutig da "Betroffene webOS-Versionen".
Die TV Modelle sind ja nur Beipiele für ein Modell des jeweiligen Jahrgangs und der entsprechenden WebOS/Software Version, an welchem getestet wurde. Da muss man nicht alle Modelle von 2019-22 testen, da alle LG TVs betroffen sind mit den genannten SoftwaresVersion und darunter

 

[Thares]

Einfach den LG oder alle Smart TVs vom Netz trennen, ein Apple TV holen, genießen.
So einfach kann es sein.

 

[onetwoxx]

Blöd nur das Apple da auch ständig so seine Sicherheitslücken hat, .... die stopfen da nämlich auch ständig zudem werden diese Lecks zuvor auch schon aktiv augenutzt
https://www.heise.de/news/iOS-17-un...lang-Infos-zu-Sicherheitsluecken-9309087.html
https://www.sicher-im-netz.de/kriminelle-nutzen-sicherheitslücken-apple-geräten-aus

 

[Hammelkoppter]

Einfach den LG oder alle Smart TVs vom Netz trennen, ein Apple TV holen, genießen.
So einfach kann es sein.

Und nächste Woche gibt's dann ne Lücke für die Apple TVs. Und dann?

@Topic
Bitdefender schreibt, dass die Lücke bzw. der Service um den es hier geht, eigentlich nur für den Lan Access vorgesehen ist. Es haben jedoch ein paar Leute (ca. 91.000) geschafft, diesen Dienst ins Internet zu veröffentlichen - sprich Portforwarding. Ob das per UPNP passiert steht leider nicht da. Wenn dies per UPNP passiert ist es mal wieder ein Beweis dafür - was für eine gefährliche Sch*** diese Funktion ist.
Wenn die Leute jedoch an ihren Routern selbst rumspielen bzw. der Router ab Werk so kacke ist, macht es das natürlich auch nicht viel besser.

Lücken in irgendwelche Systemen können und werden IMMER auftreten. Aber die Argumentation hier mancher kann ich beim besten Willen nicht nachvollziehen. Warum soll ich mir ne extra Box holen die ggf. genauso Fehlerbehaftet sein kann wie auch mein TV? Wo ist der Sinn dahinter? Soll ich mir jetzt ne Linux Kiste hinstellen weil Windows so viele Lücken hat?

Wer die Möglichkeit hat zu Segmentieren kann und sollte das gerne tun. Auch kann man den TV einfach ins Fritte Gastnetzwerk schieben. Wäre auch gangbar.

 

[Marcel55]

Gut zu wissen. Mein 77C1 hat gestern ein Update installiert, dann sollte das ja schon vom Tisch sein bevor ich davon erfahren habe

Ich muss sagen, ich bin grundsätzlich ein großer Fan von Smart TV und nutze die meisten Dienste direkt auf dem TV, finde ich einfach praktischer als über ein externes Gerät und ich meine die Qualität ist auch besser. Aber natürlich schafft man sich so auch eine zusätzliche potentielle Schwachstelle ins Haus, die vielleicht irgendwann doch keine Updates mehr erhalten wird. Selbst 5 Jahre sind für einen TV ja jetzt nicht ungewöhnlich und auch OLEDs halten so lange. Meiner wird dieses Jahr 3 und läuft noch wie am Schnürchen. Aber die Bildqualität vom OLED will ich nicht mehr missen.

 

[JMP $FCE2]

Für mich ist nichts praktischer, als Maus-/Tastaturbedienung, selbst auf dem Sofa.

Man kann an den LG Largo 2.0 zwar m.W. sogar beides anschließen, aber dann haben Browser/Youtube-App immer noch keinen Adblocker, es werden sicher nicht so viele Musiktitel gleichzeitig angezeigt, und zocken kann man damit schon gar nicht.

 

[Djura]

...und bei LG ist mal wieder nur zu lesen:

1. Improvement
1) Fixing minor bugs in software

Dann kann man es auch lassen.

 

[Romanow363]

Nach Einstecken des Netzwerkkabels (normalerweise ist der TV offline), hat mein LG OLED C9 hat das Update 05.30.45 automatisch eingespielt, obwohl ,automatische Aktualisierung' deaktiviert war.... Interessant.

 

[MalWiederIch]

Blöd nur das Apple da auch ständig so seine Sicherheitslücken hat, .... die stopfen da nämlich auch ständig zudem werden diese Lecks zuvor auch schon aktiv augenutzt
https://www.heise.de/news/iOS-17-un...lang-Infos-zu-Sicherheitsluecken-9309087.html
https://www.sicher-im-netz.de/kriminelle-nutzen-sicherheitslücken-apple-geräten-aus

Wäre auch seltsam wenn nicht bei so einem weit verbreiteten OS - wie hier auch mit webOS …

 

[nöörd]

@Frank

Obwohl LG webOS als Local-Area-Network-Dienst ausgelegt ist

Nein, LG webOS ist kein LAN Dienst. Der anfällige LAN Dienst ist der Dienst für die Fernsteuerung des Fernsehs mit LG Handys.

 

[Katzenjoghurt]

Hatte mich schon gewundert, warum mein E9 nochmal ein Update bekam.
Dachte erst:
Das kann nur schlecht sein - die nehmen mir sicher nur was weg, wenn da so spät nochmal was kommt.

 

[Shadow_S]

Wir haben einen 65er B19 von 2021. Der wird gefühlt mit jedem Update lahmer. Reagiert immer träger auf Eingaben mit der Fernbedienung. Kann man da was machen?

 

[nöörd]

@Shadow_S
Wenn du vom Fernsehschauen redest: nein
Wenn du von den Mediatheken redest: ja, einfach Google Analytics in den Mediatheken deaktivieren (in den Datenschutzeinstellungen)

 

[Xilence19]

Wird Zeit, dass ich mir einen Apple TV hole.

Warte auch schon auf das AppleTV 2024. Die Android TV Oberfläche meines Philips TV ist schrecklich.

 

[Weyoun]

TVs laufen deutlich länger als Handys und hängen durch Stream im WLAN, womit der Hacker dann schon im Heimnetz wäre.

Oder man verzichtet auf die Streaming-Funktionen des TVs und überlässt das den "Spezialisten" á la Fire TV o.ä.
Mein 7 Jahre alter Sony-TV (war damals das absolute Topmodell und eines der ersten überhaupt mit Android TV als Betriebssystem) ist heute SW-mäßig hoffnungslos veraltet und kaum noch eine Streaming-App dort funktioniert heute noch uneingeschränkt. Den TV nutze ich somit nur noch als Monitor und DVB-S-Receiver.

 

[DeusoftheWired]

Alle IOT Geräte MÜSSEN im eigenen Netzwerk in ein eigenes IOT VLAN/WIFI.

Bei allem, was für eingehende Verbindungen von außen geöffnet ist, ist das durchaus sinnvoll. Einen modernen Fernseher würden allerdings die wenigsten als IoT-Gerät einordnen und er kann im Grundzustand auch nur Verbindungen nach außen anfragen aber keine selbständig annehmen.

woran erkennt man denn welche webOS Version man hat?

Einstellungen → Alle Einstellungen → Support → TV-Informationen

Warum soll ich mir ne extra Box holen die ggf. genauso Fehlerbehaftet sein kann wie auch mein TV?

Ich muss sagen, ich bin grundsätzlich ein großer Fan von Smart TV und nutze die meisten Dienste direkt auf dem TV, finde ich einfach praktischer als über ein externes Gerät und ich meine die Qualität ist auch besser. Aber natürlich schafft man sich so auch eine zusätzliche potentielle Schwachstelle ins Haus, die vielleicht irgendwann doch keine Updates mehr erhalten wird. Selbst 5 Jahre sind für einen TV ja jetzt nicht ungewöhnlich und auch OLEDs halten so lange. Meiner wird dieses Jahr 3 und läuft noch wie am Schnürchen. Aber die Bildqualität vom OLED will ich nicht mehr missen.

Nvidia Shield, Firestick, Vero V & Konsorten sind einfacher und vor allem wesentlich günstiger zu wechseln als ein neuer Fernseher. Wenn der Hersteller nach 2 oder 5 Jahren keine Aktualisierungen mehr für die Apps deines Fernsehermodells mehr veröffentlicht, bist du gekniffen. Eine Box ist dagegen schnell ausgetauscht (und bietet auch mehr Konfigurationsmöglichkeiten, so man das denn möchte). Auch sind RAM und CPU-Leistung externer Lösungen der eines Fernsehers überlegen.

---

@Frank Wie in den Kommentaren deutlich wird, gehen viele Nutzer davon aus, ihr Fernseher sei durch die Schwachstelle aus der Ferne angreifbar. Das ist nicht so. Um die Schwachstelle remote ausnutzen zu können, muß – wie Hammelkoppter in #28 schon angerissen hat – entweder UPnP im heimischen Router aktiviert sein und der LG-Fernseher darüber eine Portfreigabe angefragt oder man selbst eine Weiterleitung der Ports 3000 + 3001 an die lokale IP des Fernsehers im Router eingerichtet haben.

Der Großteil wird auf UPnP fallen, weil man üblicherweise keine Dienste auf seinem Fernseher hostet, auf die man von unterwegs zugreifen möchte. Sonst wären es auch wesentlich mehr als die 91.000 Geräte aus der Bitdefender-Meldung, nämlich sämtliche von LG verkauften Fernseher weltweit mit webOS v 4, 5, 6 oder 7.