Faille de sécurité découverte dans les appareils Smart TV de diffusion multimédia

De nos jours, un nombre croissant de personnes s'éloignent de la télévision conventionnelle et se tournent vers diverses solutions de streaming qui offrent une variété encore plus large de contenu sans avoir besoin de laisser le câblo-opérateur chez vous. Ces différents types de matériel de diffusion en continu sont parfois appelés «boîtes de flux». On n'a découvert que récemment qu'une telle boîte de streaming contenait une faille critique qui permet aux pirates de faire beaucoup de mauvaises choses avec vos données.

La boîte de streaming en question est l'Hindotech HK1 - un appareil de streaming multimédia qui fonctionne sur Android et vous permet de regarder des vidéos en ligne et des services de streaming comme YouTube et Netflix ou Twitch sur votre téléviseur. L'appareil permet également l'installation d'applications Android afin que vous puissiez accéder à divers médias sociaux à partir de celui-ci, sur grand écran.

Les pirates peuvent obtenir des privilèges élevés

Le problème critique avec le matériel a été évalué à 9,3 sur un maximum de 10 sur le calculateur du système de notation de vulnérabilité commune exploité par la base de données nationale sur les vulnérabilités. La raison de cette note élevée est le fait que la faille de sécurité dans la boîte de streaming permet l'exécution de code arbitraire, au niveau racine. C'est plus ou moins égal à un contrôle total sur l'appareil.

Avec l'accès root et l'exécution de code arbitraire, les mauvais acteurs peuvent voler des mots de passe Wi-Fi, des messages, des jetons de compte de réseau social, des données de localisation et des listes de contacts.

La raison pour laquelle les mauvais acteurs peuvent obtenir les privilèges root en premier lieu est un problème de contrôle d'accès. Un utilisateur local sans privilèges peut passer à root. L'appareil souffre d'un problème avec les fonctions de débogage lorsque la connexion est établie via son port série ou lors de l'utilisation d'un pont de débogage Android, même en tant qu'utilisateur régulier.

Un mauvais acteur peut accéder au shell sans entrer aucune sorte d'informations de connexion et peut ensuite élever ses privilèges à root.

Une fois que l'accès root est obtenu, rien n'est interdit. Toutes les données sur l'utilisateur régulier de l'appareil sont disponibles, ainsi que la possibilité de renifler d'autres appareils connectés sur le même réseau.

Aucune réponse du fabricant

L'Hindotech HK1 est fabriqué par Shenzhen Hindo Technology Co., Ltd - une entité opérant dans la région de Hong Kong. Les chercheurs de Sick.Codes qui ont découvert le problème de sécurité avec la boîte de streaming ont échoué dans leurs tentatives de contacter le fabricant à propos du problème. Le site Web officiel de la société renvoie toujours une erreur de serveur interne 500 sur toutes ses pages au moment de la rédaction de cet article. Le problème avec le matériel n'est toujours pas résolu.

Ce n'est ni le premier ni le dernier cas de problèmes de sécurité avec les appareils domestiques. Dans le passé, nous avons couvert plusieurs cas d'appareils présentant de graves problèmes de sécurité, allant de quelque chose d'aussi complexe qu'une configuration de streaming à des objets aussi simples qu'une prise intelligente . Ces cas passés devraient servir de rappel pour toujours faire ce peu de recherche supplémentaire avant d'acheter un appareil pouvant se connecter à Internet.

October 16, 2020

Laisser une Réponse