Ανακαλύφθηκε το κενό ασφαλείας στις συσκευές Smart TV Streaming Media

Σήμερα, ένας αυξανόμενος αριθμός ανθρώπων απομακρύνεται από τη συμβατική τηλεόραση και μεταβαίνει σε διάφορες λύσεις ροής που προσφέρουν ακόμη μεγαλύτερη ποικιλία περιεχομένου χωρίς να χρειάζεται να αφήσετε τον καλωδιακό στο σπίτι σας. Αυτοί οι διάφοροι τύποι υλικού ροής αναφέρονται μερικές φορές ως "κουτιά ροής". Ένα τέτοιο πλαίσιο ροής ανακαλύφθηκε πρόσφατα ότι περιέχει ένα κρίσιμο ελάττωμα που επιτρέπει στους χάκερ να κάνουν πολλά κακά πράγματα με τα δεδομένα σας.

Το εν λόγω πλαίσιο ροής είναι το Hindotech HK1 - μια συσκευή ροής πολυμέσων που λειτουργεί σε Android και σας επιτρέπει να παρακολουθείτε βίντεο και υπηρεσίες ροής στο διαδίκτυο όπως το YouTube και το Netflix ή το Twitch στην τηλεόρασή σας. Η συσκευή επιτρέπει επίσης την εγκατάσταση εφαρμογών Android, ώστε να έχετε πρόσβαση σε διάφορα μέσα κοινωνικής δικτύωσης από αυτήν, στη μεγάλη οθόνη.

Οι χάκερ μπορούν να αποκτήσουν αυξημένα προνόμια

Το κρίσιμο ζήτημα με το υλικό έχει βαθμολογηθεί στο 9,3 από το μέγιστο 10 στον Υπολογιστή Συστήματος Κοινοτικής Ευπάθειας που λειτουργεί από την Εθνική Βάση Δεδομένων ευπάθειας. Ο λόγος για αυτήν την υψηλή βαθμολογία είναι το γεγονός ότι το κενό ασφαλείας στο πλαίσιο ροής επιτρέπει την εκτέλεση αυθαίρετου κώδικα, σε επίπεδο ρίζας. Αυτό ισοδυναμεί περισσότερο με τον πλήρη έλεγχο της συσκευής.

Με την πρόσβαση root και την αυθαίρετη εκτέλεση κώδικα, οι κακοί παράγοντες μπορούν να κλέψουν κωδικούς πρόσβασης Wi-Fi, μηνύματα, διακριτικά λογαριασμού κοινωνικού δικτύου, δεδομένα τοποθεσίας και λίστες επαφών.

Ο λόγος για τον οποίο οι κακοί ηθοποιοί μπορούν να αποκτήσουν δικαιώματα ρίζας κατά πρώτο λόγο είναι ένα ζήτημα με τον έλεγχο πρόσβασης. Ένας τοπικός χρήστης χωρίς δικαιώματα μπορεί να κλιμακωθεί σε ρίζα. Η συσκευή αντιμετωπίζει πρόβλημα με τις λειτουργίες εντοπισμού σφαλμάτων κατά τη σύνδεση μέσω της σειριακής θύρας της ή κατά τη χρήση μιας γέφυρας εντοπισμού σφαλμάτων Android, ακόμη και ως κανονικός χρήστης.

Ένας κακός ηθοποιός μπορεί να αποκτήσει πρόσβαση στο κέλυφος χωρίς να εισαγάγει κανενός είδους διαπιστευτήρια σύνδεσης και μπορεί στη συνέχεια να κλιμακώσει τα προνόμιά του για να ριζώσει.

Μόλις αποκτήσετε πρόσβαση root, τίποτα δεν είναι εκτός ορίων. Τυχόν δεδομένα σχετικά με τον κανονικό χρήστη της συσκευής είναι διαθέσιμα, καθώς και τη δυνατότητα εισπνοής άλλων συνδεδεμένων συσκευών στο ίδιο δίκτυο.

Καμία απάντηση από τον κατασκευαστή

Το Hindotech HK1 κατασκευάζεται από την Shenzhen Hindo Technology Co., Ltd - μια οντότητα που δραστηριοποιείται εκτός της περιοχής του Χονγκ Κονγκ. Οι ερευνητές από τους Sick.Codes που ανακάλυψαν το ζήτημα ασφάλειας με το πλαίσιο ροής απέτυχαν στις προσπάθειές τους να επικοινωνήσουν με τον κατασκευαστή σχετικά με το ζήτημα. Ο επίσημος ιστότοπος της εταιρείας εξακολουθεί να επιστρέφει ένα σφάλμα εσωτερικού διακομιστή 500 σε όλες τις σελίδες του τη στιγμή αυτής της γραφής. Το πρόβλημα με το υλικό παραμένει ανεπίλυτο.

Δεν είναι ούτε η πρώτη ούτε η τελευταία περίπτωση ζητημάτων ασφαλείας με οικιακές συσκευές. Στο παρελθόν έχουμε καλύψει πολλές περιπτώσεις συσκευών με σοβαρά ζητήματα ασφάλειας, που κυμαίνονται από κάτι τόσο περίπλοκο όσο μια ρύθμιση ροής έως αντικείμενα τόσο απλά όσο ένα έξυπνο βύσμα . Αυτές οι προηγούμενες περιπτώσεις πρέπει να χρησιμεύσουν ως υπενθύμιση για να κάνετε πάντα αυτό το επιπλέον κομμάτι της έρευνας πριν αγοράσετε οποιαδήποτε συσκευή που μπορεί να συνδεθεί στο Διαδίκτυο.

October 16, 2020

Αφήστε μια απάντηση