Sérülékeny okos televíziók

A közelmúltban megrendezett, Black Hat 2013 elnevezésű, internetbiztonsági kérdésekkel foglalkozó konferencián két mérnök bemutatta, hogy a kiberbűnözők hogyan hackelhetik meg a Samsung Smart Tv-ket.

A duó demonstrálta, hogy a támadók hogyan használják ki a tévék operációs rendszerének és alkalmazásainak sérülékenységét, hogy érzékeny információkhoz jussanak, vagy akár átvegyék az uralmat a beépített webkamerák felett és kémkedjenek a felhasználók után.

Amíg néhány biztonsági rést csak egy a helyszínen lévő támadó tud kiaknázni, másokat távoli kapcsolat révén is kihasználhatnak.

Rájöttek, hogy a tévék támadhatóak sok, már jól ismert web alapú sérülékenységen keresztül.
Kihasználták a felhasználó tudta nélküli letöltések (drive-by download) és a DNS “mérgezés” bugjait is. Bemutatták, hogy a kiberbűnözők képesek ellopni a helyi felhasználók bejelentkező adatait, a helyi Wi-Fi belépőadatokat, a böngészési történetet, a sütiket és a cache-t is.

Még a Skype fiókok is “elrabolhatóak”, és a bűnözők, a sérülékeny Java alkalmazásoknak hála, átvehetik az uralmat az API-k (alkalmazásprogramozási felület) felett is.

12608720_l

A kutatók még januárban jelentették a Samsungnak, hogy milyen hibákra bukkantak. A cég tett is lépéseket a problémák megszüntetésére néhány modelljükben. Az API-t érintő hiba a következő évben lesz orvosolva, viszont a Skype-on lévő rést nem sokkal a jelentés után befoltozták.

A mérnökök elismerték, hogy a bemutatott támadásokat nem egyszerű végrehajtani, azonban mindenképpen figyelmeztetni akarták a gyártókat, hogy HTML-re és JavaScript alkalmazásokra építeni egy keretrendszert olyan kockázatokkal jár, amelyek nem hagyhatók figyelmen kívül. 

Ez persze nem is az első alkalom volt, hogy biztonsági réseket találtak a Samsung Smart Tv-ken. 2012 decemberében szakértők már megmutatták, hogyan férnek hozzá az érzékeny információkhoz, hogy monitorozzák az eszközöket vagy akár veszik át a teljes uralmat felettük.

Forrás: Softpedia

 

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.