Ujawniono informację o podatnościach w otwartej platformie webOS, które można wykorzystać w celu uzyskania dostępu do uprzywilejowanych API niskiego poziomu środowiska systemowego telewizorów LG i innych urządzeń opartych na tej platformie. Atak odbywa się poprzez uruchomienie nieuprzywilejowanej aplikacji, która wykorzystuje luki w zabezpieczeniach poprzez dostęp do wewnętrznych interfejsów API i umożliwia nadpisanie/odczytanie dowolnych plików lub wykonanie innych działań dozwolonych przez systemowe interfejsy API.
Pierwsza ze zidentyfikowanych podatności pozwala na ominięcie ograniczeń dostępu do API Notification Manager, natomiast druga pozwala na wykorzystanie Notification Managera w celu uzyskania dostępu do innych wewnętrznych API, które nie są bezpośrednio dostępne dla aplikacji użytkownika. Do problemów nie przypisano jeszcze identyfikatorów CVE. Możliwość wykorzystania luk została przetestowana na telewizorze LG 65SM8500PLA z oprogramowaniem opartym na webOS TV 05.10.30.
Istota pierwszej luki polega na tym, że domyślnie wysyłanie powiadomień w webOS-ie dozwolone jest tylko do usług systemowych, jednak ograniczenie to można ominąć i wysłać powiadomienie z nieuprzywilejowanej aplikacji za pomocą komendy luna-send-pub (com.webos .lunasendpub). Druga podatność związana jest z tym, że wywołując API „luna://com.webos.notification/createAlert” z parametrami onclick, onclose lub onfail, można uruchomić dowolny handler i np. wywołać system Download Manager usługa, z której można uruchamiać jedynie uprzywilejowane aplikacje do pobierania i zapisywania dowolnych plików.
Źródło: opennet.ru