Foram divulgadas informações sobre vulnerabilidades na plataforma aberta webOS que podem ser usadas para obter acesso a APIs privilegiadas de baixo nível do ambiente do sistema de TVs LG e outros dispositivos baseados nesta plataforma. O ataque é realizado através do lançamento de um aplicativo sem privilégios que explora vulnerabilidades através do acesso a APIs internas e permite sobrescrever/ler arquivos arbitrários ou realizar outras ações permitidas pelas APIs do sistema.
A primeira das vulnerabilidades identificadas permite ignorar as restrições de acesso à API do Notification Manager, e a segunda permite usar o Notification Manager para acessar outras APIs internas que não são diretamente acessíveis ao aplicativo do usuário. Os identificadores CVE ainda não foram atribuídos aos problemas. A capacidade de explorar vulnerabilidades foi testada em uma TV LG 65SM8500PLA com firmware baseado em webOS TV 05.10.30.
A essência da primeira vulnerabilidade é que, por padrão, o envio de notificações no webOS é permitido apenas para serviços do sistema, mas essa restrição pode ser contornada e uma notificação pode ser enviada de um aplicativo sem privilégios usando o comando luna-send-pub (com.webos .lunasendpub). A segunda vulnerabilidade está relacionada ao fato de que ao chamar a API “luna://com.webos.notification/createAlert” com os parâmetros onclick, onclose ou onfail, você pode iniciar qualquer manipulador e, por exemplo, chamar o sistema Download Manager serviço, que só pode lançar aplicativos privilegiados para baixar e salvar arquivos arbitrários.
Fonte: opennet.ru