Una simple memoria USB puede tomar el control de tu televisor LG: en pocos pasos lo convierten en un dispositivo espía
Un servicio oculto permite acceder a todos los archivos de la víctima.
Especialistas de TyphoonPWN, en el marco del concurso TyphoonPWN 2025 descubrieron en el firmware LG WebOS una vulnerabilidad que permite tomar el control completo del televisor — desde la descarga no autorizada de archivos hasta la instalación de aplicaciones y la activación del modo desarrollador. El informe del problema se envió al proveedor, que publicó el boletín SMR-SEP-2025. Los detalles del ataque demuestran una cadena de fallos en los servicios del navegador y secondscreen.gateway.
La vulnerabilidad está relacionada con que el servicio del navegador de WebOS abre el puerto 18888 al conectar una unidad USB y expone la API /getFile?path=…, mediante la cual dispositivos remotos pueden descargar el contenido de los directorios /tmp/usb o /tmp/home.office.documentviewer. El parámetro path no se valida correctamente, lo que permite realizar un salto de directorio y extraer cualquier archivo del sistema de archivos del dispositivo — incluida la base de datos de claves de clientes. Las claves comprometidas se usan para eludir la autenticación de secondscreen.gateway, tras lo cual el atacante obtiene funcionalidades que normalmente solo están disponibles para clientes de confianza.
El acceso a las claves no se limita a la lectura: a través de secondscreen el atacante puede activar el modo desarrollador, iniciar la descarga de un paquete IPK al almacenamiento interno del televisor y lanzar la instalación mediante el servicio de instalación de aplicaciones. Como resultado, es posible instalar un programa malicioso que ejecuta una shell inversa, otorga acceso persistente y conserva el control después del reinicio. La investigación incluye una prueba de concepto (PoC) práctica. Los autores describen la secuencia de comandos y las plantillas de carga útil que confirman la eficacia del escenario en una red local real.
El proveedor publicó el boletín y está preparando una actualización de seguridad; a los fabricantes y administradores se les recomienda instalar la actualización oficial cuanto antes y limitar el acceso dentro de la red. A los usuarios se les aconseja desactivar temporalmente la compartición automática de archivos desde USB y asegurarse de que el televisor esté en una red local protegida, inaccesible para dispositivos ajenos. Para una verificación detallada conviene revisar la estructura de puertos abiertos y los registros de acceso a /tmp y /var/db, así como eliminar unidades desconocidas que se hayan conectado anteriormente.