Lekken in LG nas-model geven aanvaller toegang tot bestanden

[Captain Kirk]

Verschillende beveiligingslekken in een ouder nas-model van fabrikant LG, dat ook in Nederland werd verkocht, geven een aanvaller toegang tot bestanden op het opslagapparaat. Het gaat om de LG N1A1DD1 die met de slimme televisies van LG kan samenwerken.

Op de nas (network-attached storage) draait een applicatie genaamd Familycast. Daarmee is het mogelijk om opgeslagen video's, muziek en foto's via de afstandsbediening met anderen te delen. Beveiligingsonderzoekers van het Hongaarse Search-Lab ontdekten verschillende kwetsbaarheden in de applicatie. Zo blijken allerlei scripts zonder authenticatie toegankelijk te zijn, zijn gebruikersnamen en wachtwoordhashes via sql-injectie te achterhalen, zijn alle systeembestanden voor een aanvaller toegankelijk en wordt gevoelige informatie in logbestanden opgeslagen.

De problemen werden eind vorig jaar door LG via een beveiligingsupdate gepatcht, maar destijds werden geen details gegeven, behalve dat er beveiligingsproblemen waren opgelost. De onderzoekers hebben nu besloten deze details wel vrij te geven. Ook maakten ze onderstaande video waarin de kwetsbaarheden worden gedemonstreerd.

 

bron: security.nl