Les téléviseurs Android de TCL contiennent une faille qui permet de réécrire des fichiers
Le chercheur en sécurité qui s'appelle Sick Codes a mené une enquête avec deux de ses collègues travaillant dans le domaine de la sécurité de l'information et est arrivé à des conclusions désagréables. Le trio d'analyse de la sécurité a découvert que les téléviseurs TCL Android présentaient une faille de sécurité importante.
L'enquête s'est déroulée sur trois mois et a abouti à la découverte de problèmes de sécurité majeurs avec les téléviseurs intelligents du fabricant. La faille a permis aux mauvais acteurs d'accéder au système de fichiers du téléviseur via Wi-Fi, en abusant d'un port TCP / IP non documenté.
L'étendue de l'accès que cela permettait incluait le retrait de toutes les informations du système de fichiers de l'appareil, la suppression des fichiers de l'appareil et l'écrasement des fichiers existants sans aucune sorte d'informations d'identification nécessaires.
Une enquête plus approfondie sur le problème menée par les trois chercheurs a montré qu'une application appelée "Terminal Manager Remote" fournie par le fabricant agissait en fait comme une porte dérobée. Cela a conduit les chercheurs à la conclusion que le problème n'était pas une erreur, mais un choix délibéré, permettant au fabricant d'accéder à n'importe quelle unité et d'apporter des modifications à ses logiciels et fichiers.
Pour prouver leur point de vue, Sick Codes et ses collègues ont fourni la preuve qu'ils étaient en mesure d'accéder à un poste de télévision arbitraire situé en Afrique. Une fois qu'ils sont entrés, ils ont pu faire tout ce qu'ils voulaient avec le système de fichiers du téléviseur, tant que l'utilisateur gardait le téléviseur allumé. De plus, des recherches ont montré que les unités basées sur Roku de la même gamme de produits TCL n'étaient pas affectées par cette faille de sécurité.
À défaut d'obtenir une réponse significative de TCL, Sick Codes a porté la question au CERT des États-Unis. Le CERT leur a donné le feu vert pour divulguer publiquement le problème si aucune réponse adéquate ne parvient de TCL.
Peu de temps après, TCL a publié une déclaration officielle indiquant qu'elle avait été mise au courant du problème et qu'elle «travaillait sur un correctif».
Des incidents similaires ne fonctionnent que pour souligner à quel point il est facile d'autoriser des invités indésirables dans votre maison en achetant une technologie Internet. La commodité est toujours un facteur important lorsque les gens envisagent d'acheter un nouveau gadget sophistiqué pour leur maison, mais la sécurité de ces nouveaux gadgets est souvent impossible à évaluer, en particulier pour l'utilisateur régulier. C'est pourquoi faire des recherches suffisantes sur toute nouvelle technologie sophistiquée que vous décidez d'acheter est toujours une bonne idée.