تم الكشف عن معلومات حول الثغرات الأمنية في منصة webOS المفتوحة والتي يمكن استخدامها للوصول إلى واجهات برمجة التطبيقات ذات المستوى المنخفض المميزة لبيئة النظام لأجهزة تلفزيون LG والأجهزة الأخرى المستندة إلى هذا النظام الأساسي. يتم تنفيذ الهجوم من خلال إطلاق تطبيق غير مميز يستغل الثغرات الأمنية من خلال الوصول إلى واجهات برمجة التطبيقات الداخلية، ويسمح لك بالكتابة/قراءة الملفات التعسفية أو تنفيذ إجراءات أخرى تسمح بها واجهات برمجة تطبيقات النظام.
تسمح لك أول الثغرات التي تم تحديدها بتجاوز قيود الوصول إلى واجهة برمجة تطبيقات Notification Manager، وتسمح لك الثانية باستخدام Notification Manager للوصول إلى واجهات برمجة التطبيقات الداخلية الأخرى التي لا يمكن لتطبيق المستخدم الوصول إليها مباشرة. لم يتم بعد تعيين معرفات CVE للمشكلات. تم اختبار القدرة على استغلال الثغرات الأمنية على تلفزيون LG 65SM8500PLA مع البرامج الثابتة المستندة إلى webOS TV 05.10.30.
جوهر الثغرة الأمنية الأولى هو أنه بشكل افتراضي، يُسمح بإرسال الإشعارات في webOS فقط إلى خدمات النظام، ولكن يمكن تجاوز هذا القيد ويمكن إرسال إشعار من تطبيق غير مميز باستخدام الأمر luna-send-pub (com.webos .lunasendpub). تتعلق الثغرة الثانية بحقيقة أنه من خلال استدعاء واجهة برمجة التطبيقات "luna://com.webos.notification/createAlert" باستخدام معلمات onclick أو onclos أو onfail، يمكنك تشغيل أي معالج، وعلى سبيل المثال، استدعاء نظام Download Manager الخدمة التي يُسمح لها فقط بتشغيل التطبيقات المميزة لتنزيل الملفات العشوائية وحفظها.
المصدر: opennet.ru