VDB-11236 · OSVDB 100011 · GCVE-100-11236

LG Smart TV Collection of Watching Info 弱加密

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
7.3	$0-$5k	0.00

摘要信息

在LG Smart TV 中曾发现分类为棘手的漏洞。此漏洞会影响某些未知进程的组件Collection of Watching Info。由于被操作，进而引发弱加密。攻击可能起始于远程，不存在可用的漏洞利用。该漏洞因其背景和受到的关注而具有历史影响力。推荐修改配置设置。

在LG Smart TV 中曾发现分类为棘手的漏洞。此漏洞会影响某些未知进程的组件Collection of Watching Info。由于被操作，进而引发弱加密。漏洞的CWE定义是 CWE-312。此漏洞是在2013-11-18发现的。此漏洞的脆弱性 2013-11-18由公示人DoctorBeet、公示人身份LG Smart TVs logging USB filenames and viewing info to LG servers、公示人类型为Blog Post (Blogspot)所披露。您可以在 doctorbeet.blogspot.ch 下载该通告。此次公开发布未经供应商参与。

攻击可能起始于远程，没有可用的技术细节。此漏洞的受欢迎程度低于平均值。不存在可用的漏洞利用。当前，大致为 USD $0-$5k。 MITRE ATT&CK 项目将攻击技术声明为 T1555。该漏洞因其背景和受到的关注而具有历史影响力。通告提到：

This information appears to be sent back unencrypted and in the clear to LG every time you change channel, even if you have gone to the trouble of changing the setting to switch collection of viewing information off. It was at this point, I made an even more disturbing find within the packet data dumps. I noticed filenames were being posted to LG's servers and that these filenames were ones stored on my external USB hard drive.

如果有长度，则声明为未定义。作为零日漏洞，其地下市场的估计价格约为$5k-$25k。

推荐修改配置设置。在漏洞披露后立即，已经有可能的缓解措施发布。