Милиони интелигентни телевизори са уязвими за хакери

Милиони интелигентни телевизори са уязвими за хакери

Ето малко предупреждение за вас, ако притежавате интелигентен телевизор или планирате да си купите такъв: Милиони устройства имат уязвимости в сигурността, които ще позволят на хакерите да променят дистанционно каналите, нивото на звука и други. И производителите на тези устройства могат да наблюдават и събират много информация за вашите навици на гледане, вероятно повече, отколкото бихте искали.


optad_b

Потребителските доклади с нестопанска цел направиха откритието широкообхватно оценка на неприкосновеността на личния живот и сигурността на най-добрите марки интелигентни телевизори, които тя проведе в сътрудничество със охранителна фирма Прекъснете връзката и изследователски институт Класиране на цифрови права .

Това не е първият път недостатъци в сигурността и поверителността са открити в интелигентни телевизори и други умни домакински уреди. Въпреки това, с телевизори, свързани с интернет, отчитат повече от 60 процента от устройствата се доставят в световен мащаб , тези опасения са утежняващи. Така че, докато се наслаждавате на възможността да гледате любимата си услуга за стрийминг на телевизора си с голям екран, вие също трябва да се пазите от опасенията относно сигурността и поверителността, които тя може да проследи.



Защо интелигентните телевизори са уязвими

Сред разгледаните няколко популярни интелигентни телевизора Consumer Reports са телевизори, произведени от Samsung и TCL и устройства, които използват Година Установено е, че платформата за интелигентна телевизия има недостатъци в сигурността.

„Просто търсихме добри практики за сигурност“, казва Мария Реречич, която ръководи тестовете за електроника в Consumer Reports. „Криптиране на лични или чувствителни данни, защита от често срещани уязвимости, такива неща.“

Изследователите установиха, че устройствата Samsung и TCL имат уязвимости, които могат да позволят на хакерите да „изпомпват силата на звука от шепот до ниски нива, бързо да преминават през канали, да отварят обезпокоително съдържание в YouTube или да извадят телевизора от WiFi мрежата“ Експлойтите обаче няма да позволят на нападателите да шпионират потребители или да събират информация от техните телевизори, се посочва в доклада.

В случай на TCL устройства, недостатъците бяха открити в интерфейсите за приложно програмиране (API) на основната платформа Roku TV, която се използва и в устройства, произведени от други компании като Sharp, Hisense, LG и собствените устройства за стрийминг на Roku. API са набор от функции, които позволяват взаимодействие между различен софтуер и хардуер. Компаниите и разработчиците използват API на Roku, за да създават приложения за своите устройства.



Липсата на сигурност в отдалечените API извиквания на платформата на Roku без проверки за сигурност. „Това означава, че дори изключително неопитни хакери могат да поемат контрола над Rokus“, казва Ийсън Гуудейл, водещ инженер на Disconnect. „Това е по-малко заключена врата и повече прозрачна завеса до неонова надпис„ Ние сме отворени! “.“

За да използва уязвимостта, хакерът ще се нуждае от достъп до Wi-Fi на целевите телевизори. Това може да се случи, ако потребителят на лаптоп или смартфон в същата мрежа бъде подмамен да инсталира злонамерен софтуер -инфектирано приложение или посещение на уеб страница със злонамерен код.

Експлойтът на Samsung е малко по-сложен и би работил само на устройство, което преди това е взаимодействало и е получило достъп до целевия телевизор.

„Смарт телевизорите не се различават от всички други родови устройства [Internet of Things (IoT)], работещи на добре познат софтуер, съдържащ собствена слабост и уязвимости,“ казва Кестас Малакаускас, SVP по киберсигурност в КОЙ ИИ , компания, която предоставя решения за сигурност и мрежови решения. „Въпрос на време е кога ще бъде идентифицирана нова уязвимост в софтуера X и експлоатите ще бъдат разработени и предоставени в дивата природа за всеки престъпник или хакер там.“

Малакаускас посочва, че почти всички интелигентни телевизори имат вградени браузъри, които той нарича „просто още един вектор за изтегляне и изпълнение на зловреден код“. И за разлика от нашите лаптопи и смартфони, хардуерните и софтуерните ограничения в интелигентните домакински уреди им пречат да работят антивирусна и антишпионски инструменти .

Не всички обаче са съгласни, че уязвимостите, открити от Consumer Reports, са критични по своята същност. „Нещата в Roku изискват потенциален нападател да седи в същата локална (Wi-Fi) мрежа. В този момент имате по-големи проблеми “, казва Шон Съливан, съветник по сигурността и изследовател във фирма за киберсигурност F-Secure . Уязвимостта на Samsung включва твърде много „ако“, казва Съливан, налагайки много висока цена за хакер, който иска да се забърка с обема на вашия интелигентен телевизор. „Не мисля, че хакерите изобщо ще бъдат мотивирани от тази„ уязвимост “, казва той.



Малакаускас обаче отбелязва, че макар интелигентните телевизори да не изглеждат като много интересна цел за хакерите, те винаги могат да работят като шлюзове за хакери, за да получат опора в мрежата на вашия дом и движете се странично, за да откраднете информация от други устройства.

Рисковете за поверителност на интелигентните телевизори

Всички интелигентни телевизори, които Consumer Reports прегледаха, изискваха от потребителите да загубят данните си за гледане, за да използват свързаните функции на устройството. „Установихме, че не винаги е лесно да разберете с какво се съгласявате, докато продължавате през процеса на настройка“, се казва в доклада. „И ако откажете разрешенията, можете да загубите изненадващо количество функционалност.“

Повечето интелигентни телевизори използват автоматично разпознаване на съдържание (ACR), технология, която позволява на производителите да идентифицират и класифицират съдържанието, което гледате. Това включва кабел, ефирни предавания, стрийминг услуги и дори DVD и Blu-ray дискове. ACR събира проби от аудио, видео и метаданни от вашия телевизор и ги изпраща на производителя, който след това анализира данните, за да разбере вашите предпочитания и препоръчва други предавания, които може да ви интересуват за гледане. Но той също използва тази информация за рекламни и маркетингови цели. „Не можете лесно да прегледате или изтриете тези данни по-късно“, казва Consumer Report.

Някои от телевизорите позволяват на потребителите да деактивират ACR, като същевременно се съгласяват с основно споразумение за поверителност. Въпреки това, дори тези основни споразумения за поверителност може да изискват от вас да се откажете от местоположението си, върху кои приложения за стрийминг щракнете и др. Несъгласието с условията ще ви лиши от „интелигентните“ функции на вашия телевизор. „Можете да свържете кабелна кутия или антена, но няма да можете да стриймвате нищо от Amazon, Netflix или други уеб базирани услуги“, казва Consumer Report.

Най-лошите настройки за поверителност бяха открити в смарт телевизора Sony, който се захранва от Google Android TV платформа. Процесът на настройка изрично изисква потребителите да се съгласят с политиката за поверителност на Google.

- Фактът, че тиималда приемам условията и условията на Google, харесват ги или не, само за да настроя устройството, ми се струваше по-голям проблем от всички останали [констатации] “, казва Sullivan на F-Secure. „Да не говорим, че в момента има съобщения за Телевизорите с Android са компрометирани в Китай от криптоминьор. '

Съливан казва, че ACR не представлява непременно загриженост за поверителността на устройства, които не изискват от потребителя да влиза в определен онлайн акаунт. „Но в случая на телевизори с Android, мисля, че изискването (или почти изискването) за свързване на акаунт може да е проблем / вектор, който позволява нежелани реклами, насочени към различни платформи“, казва той.

Последното изследване на Consumer Report показва по-широки предизвикателства пред която е изправена потребителската IoT индустрия. През 2016 г. уязвимите IoT устройства позволиха на хакерите да стартират най-голямата разпределена атака за отказ на услуга (DDoS) в историята , нарушавайки достъпа до онлайн услуги в големи области по света.

„В тази област първото излизане на пазара все още е много по-важно от принципите за проектиране на сигурността, прилагани във всеки софтуер за интелигентна телевизия“, казва Малакаускас.

„За съжаление това е често срещана практика и не само при интелигентната телевизия“, съгласен е Йоси Атиас, генерален мениджър на IoT сигурност в Доджо от Bullguard , стартиране на поверителност и сигурност на IoT. „Доставчиците на устройства се възползват от липсата на знания и осведоменост на потребителите относно поверителността като цяло. Винаги се маскира от дълги сложни правни изявления, които потребителите обикновено не пренебрегват. Доставчиците не трябва да принуждават функционалността за търговия за поверителност. Това ще се промени само ако регулаторите се намесят и принудят доставчиците на устройства да запазят поверителността на потребителя по подразбиране. '

Как да защитим вашия интелигентен телевизор

„Без подходяща видимост на мрежовия трафик е много трудно за един обикновен потребител дори да разбере дали устройството му е компрометирано“, казва Атиас.

Има някои мерки, които могат да сведат до минимум повърхността на атака на потребителите, предлага Атиас:

  • Постоянно актуализирайте фърмуера на вашия смарт телевизор и приложенията, работещи на него (повечето интелигентни телевизори имат опция за автоматично актуализиране).
  • Предпочитайте кабелните връзки пред безжичните, защото са по-трудни за компрометиране.
  • Купувайте интелигентни телевизори само от реномирани доставчици, които имат опит в редовното отстраняване на грешки и публикуването на актуализации на защитата.
  • Избягвайте да свързвате USB стикове към телевизора, защото те могат да съдържат злонамерен софтуер.

Malakauskas от CUJO препоръчва да се уверите, че ясно разбирате условията и политиките за поверителност, преди да активирате която и да е услуга на вашия интелигентен телевизор. „Предстоящият E.U. Общ регламент за защита на данните (GDPR) ще принуди доставчиците да предоставят по-подробни и ясни декларации относно политиката за поверителност, които ще позволят на потребителите да разберат какви данни ще се събират и как ще се използват “, казва той. Разбира се, това не е задължително да помогне на потребителите в САЩ

Малакаускас също така предупреждава да не се използват общи браузъри на интелигентни телевизори, тъй като те нямат вграден контрол на сигурността за защита срещу злонамерени уеб атаки.

Потребителите могат също да инсталират a интелигентно устройство за защита на дома като CUJO, Dojo или F-Secure Sense. Тези устройства използват набор от техники, като мониторинг на поведението на устройството и проверка на пакети, за да открият и блокират злонамерена дейност във вашата домашна мрежа. Добавеният слой защита на интелигентните устройства за домашна защита може да компенсира присъщите уязвимости, които съществуват в IoT устройствата.

Бен Диксън е софтуерен инженер и основател на TechTalks . Следвайте неговите туитове на адрес @ bendee983 и неговите актуализации на Facebook .

Забележка на редактора: Тази статия е актуализирана за по-голяма яснота.