Nowe luki w Samsung SmartTV: telewizor będzie oglądał Ciebie?

Złośliwe oprogramowanie na PC to zagrożenie, którego użytkownicy świadomi są od wielu lat. Złośliwe oprogramowanie na telefonach czy tabletach to coś, do czego właśnie się przyzwyczajamy. Złośliwe oprogramowanie na telewizorach? I do tego będziemy musieli przywyknąć. W miarę jak kolejne generacje odbiorników TV stają się coraz „sprytniejsze”, rośnie liczba luk w ich oprogramowaniu, które napastnicy mogą z łatwością wykorzystać do zainfekowania telewizora, przejęcia wrażliwych danych jego właściciela, czy nawet szpiegowania go przez wbudowaną kamerę.

Z nastaniem ery urządzeń określanych jako „Smart TV” ziściło się jedno z proroctw Roku 1984 Orwella: telewizor przestał być już tylko czymś do oglądania programu telewizyjnego, teraz telewizor może posłużyć do oglądania i podsłuchiwania widza. Zarówno przed tym, jak i wieloma innymi zagrożeniami ostrzegają Aaron Grattafior i Josh Yavor, badacze z firmy ISEC Partners, którzy podczas ostatniej konferencji Black Hat pokazali, jak łatwo jest napastnikom przejąć kontrolę nad jedną z najpopularniejszych platform „sprytnych” telewizorów – Samsung Smart TV.

Czym jest Samsung Smart TV? Tam gdzie końcowy klient widzi duży telewizor, na którym można surfować po Sieci czy grać w Angry Birds bez podłączania do niego żadnego dodatkowego urządzenia, tam haker ujrzy linuksowe urządzenie, na którym działa bazująca na silniku WebKit przeglądarka i wirtualna maszyna Javy. Gdy haker przyjrzy się im bliżej, będzie miał powody do radości – pełno tam luk, które w desktopowych i mobilnych wersjach dawno zostały załatane.

Podczas swojej prezentacji badacze pokazali m.in. jak wykorzystać podatności w Javie i SmartHubie telewizora do przejęcia kontroli nad wbudowaną kamerą, jak wykorzystać zatrucie DNS i ataki drive-by przez przeglądarkę, by wykraść dane logowania użytkownika do serwisów internetowych, a nawet hasło do domowej sieci Wi-Fi. To jednak nic w porównaniu do ataku na klienta Skype, który okazał się podatny na wstrzykiwanie wrogiego kodu przez opisy statusu (mood messages),pozwalające na zrestartowanie aplikacji, a w teorii także na przejęcie wszystkich przechowywanych przez Skype'a na telewizorze danych.

Grattafiori i Yavor twierdzą, że platforma Samsunga jest praktycznie bezbronna wobec hakerów – brakuje w niej podstawowych mechanizmów bezpieczeństwa, takich jak zapory sieciowe czy silne mechanizmy uwierzytelniania. W połączeniu z dostępem do Sieci, mechanizmem zdalnych aktualizacji systemu operacyjnego i aplikacji ograniczonym do tego, co zaoferuje producent, oraz brakiem ochrony antywirusowej, Smart TV jest gratką dla każdego twórcy malware.

Badacze z ISEC Partners nie są pierwszymi, którzy znaleźli luki w Smart TV. W grudniu 2012 r. eksperci z firmy ReVuln przedstawili atak 0-day, wymierzony w telewizory Samsunga, ale koreański producent uznał go za mało znaczący, zapowiadając wówczas wydanie poprawki wraz ze styczniowymi aktualizacjami. Teraz na załatanie luk dotyczących niektórych interfejsów programowania Smart TV właścicielom tych telewizorów przyjdzie poczekać do 2014 roku.

Oczywiście Samsung nie jest jedynym producentem mającym problemy z bezpieczeństwem swoich „sprytnych” telewizorów. Niemało jest też np. exploitów na platformę Google TV jest już dziś całkiem sporo. Platformy innych producentów na razie wydają się względnie bezpieczne, ale nie wiadomo, czy jest to zasługa ich architektury, czy też po prostu dominującej pozycji Samsunga na rynku (w pierwszym kwartale 2013 r. co czwarty sprzedany Smart TV był wyprodukowany przez koreańskiego giganta).

Za: dobreprogramy.pl