Sikkerheds smuthul opdaget i mediestreaming af Smart TV-enheder

I dag bevæger et stigende antal mennesker sig væk fra konventionelt fjernsyn og skifter til forskellige streamingløsninger, der leverer et endnu bredere udvalg af indhold uden behov for at lade kabel fyren i dit hus. Disse forskellige typer streaming-hardware kaldes undertiden "stream boxes". En sådan streamingboks er først for nylig blevet opdaget at indeholde en kritisk fejl, der giver hackere mulighed for at gøre en masse dårlige ting med dine data.

Den aktuelle streaming-boks er Hindotech HK1 - en mediestreaming-enhed, der kører på Android og giver dig mulighed for at se onlinevideoer og streamingtjenester som YouTube og Netflix eller Twitch på dit tv-apparat. Enheden tillader også installation af Android-apps, så du kan få adgang til forskellige sociale medier fra den på den store skærm.

Hackere kan få forhøjede privilegier

Det kritiske problem med hardware er vurderet til 9,3 ud af maksimalt 10 på Common Vulnerability Scoring System Calculator, der drives af National Vulnerability Database. Årsagen til denne høje vurdering er det faktum, at sikkerhedssmuthulet i streamingboksen muliggør udførelse af vilkårlig kode på rodniveau. Dette svarer mere eller mindre til fuld kontrol over enheden.

Med rodadgang og udførelse af vilkårlig kode kan dårlige aktører stjæle Wi-Fi-adgangskoder, meddelelser, sociale netværkskontotokens, placeringsdata og kontaktlister.

Årsagen til, at de dårlige skuespillere i første omgang kan få rodprivilegier, er et problem med adgangskontrol. En lokal bruger uden privilegier kan eskalere til root. Enheden lider af et problem med fejlfindingsfunktioner, når der oprettes forbindelse via dens serielle port, eller når du bruger en Android Debug Bridge, selv som en almindelig bruger.

En dårlig skuespiller kan få adgang til skallen uden at indtaste nogen form for loginoplysninger og kan derefter eskalere deres rettigheder til root.

Når først root-adgang er opnået, er intet uden for grænserne. Alle data om den almindelige bruger af enheden er tilgængelige samt muligheden for at snuse andre tilsluttede enheder på det samme netværk.

Intet svar fra producenten

Hindotech HK1 er fremstillet af Shenzhen Hindo Technology Co., Ltd - en enhed, der opererer uden for Hong Kong-området. Forskerne fra Sick.Codes, der opdagede sikkerhedsproblemet med streamingboksen, mislykkedes i deres forsøg på at kontakte producenten om problemet. Virksomhedens officielle hjemmeside returnerer stadig en intern serverfejl 500 på alle dens sider på tidspunktet for denne skrivning. Problemet med hardware forbliver uadresseret.

Dette er hverken det første eller det sidste tilfælde af sikkerhedsproblemer med hjemmeenheder. Tidligere har vi dækket flere tilfælde af enheder med alvorlige sikkerhedsproblemer, lige fra noget så kompliceret som en streamingopsætning til objekter så enkle som et smart stik . Disse tidligere sager bør tjene som en påmindelse om altid at undersøge den ekstra smule, inden du køber en enhed, der kan oprette forbindelse til Internettet.

October 16, 2020

Efterlad et Svar