Biztonsági rés a média streaming intelligens TV-eszközökben
Manapság egyre több ember távolodik el a hagyományos televíziózástól, és áttér a különféle streaming megoldásokra, amelyek még szélesebb körű tartalmat szolgáltatnak, anélkül, hogy be kellene engedni a kábeles srácot a házába. Ezeket a különböző streaming hardvereket néha "stream box" -nak nevezik. Egy ilyen streaming doboz csak a közelmúltban fedezték fel, hogy tartalmaz egy kritikus hibát, amely lehetővé teszi a hackerek számára, hogy sok rossz dolgot tegyenek meg az adataival.
A szóban forgó streaming doboz a Hindotech HK1 - egy média streaming eszköz, amely Android rendszeren fut, és amelynek segítségével online videókat és streaming szolgáltatásokat nézhet, mint például a YouTube és a Netflix vagy a Twitch a televízióján. A készülék lehetővé teszi az Android-alkalmazások telepítését is, így hozzáférhet belőle a különböző közösségi médiákhoz, a nagy képernyőn.
A hackerek megemelkedett kiváltságokat kaphatnak
A hardver kritikus problémáját a Nemzeti Vulnerability Database által működtetett Common Vulnerability Scoring System Calculator esetében a maximális 10-ből 9,3-ra értékelték. Ennek a magas besorolásnak az az oka, hogy a streaming mezőben lévő biztonsági rés lehetővé teszi tetszőleges kód futtatását root szinten. Ez nagyjából megegyezik az eszköz teljes irányításával.
Gyökérhozzáféréssel és tetszőleges kódfuttatással a rossz szereplők ellophatnak Wi-Fi jelszavakat, üzeneteket, közösségi hálózati fiók tokeneket, helyadatokat és névjegyzékeket.
Az oka annak, hogy a rossz szereplők elsősorban root jogosultságokat kaphatnak, a hozzáférés-ellenőrzés kérdése. Jogosultságok nélküli helyi felhasználó gyökérvé válhat. Az eszköz hibakeresési funkciókkal küzd, amikor a kapcsolatot soros portján keresztül hozzák létre, vagy ha Android Debug Bridge-et használ, akár rendszeres felhasználóként is.
Egy rossz színész bármiféle bejelentkezési adatok megadása nélkül férhet hozzá a héjhoz, majd a gyökérhez fokozhatja a jogosultságait.
A root hozzáférés megszerzése után semmi sem áll határtalanul. Bármilyen adat rendelkezésre áll az eszköz szokásos felhasználójáról, valamint az ugyanazon a hálózaton található többi csatlakoztatott eszköz szippantásának lehetősége.
A gyártó nem válaszol
A Hindotech HK1-et a Shenzhen Hindo Technology Co., Ltd. gyártja, amely Hongkong területén kívül működik. A Sick.Codes kutatói, akik felfedezték a streaming doboz biztonsági problémáját, kudarcot vallottak a gyártóval való kapcsolatfelvételben. A cég hivatalos weboldala a cikk írásakor még mindig az 500-as belső kiszolgáló hibát jeleníti meg. A hardverrel kapcsolatos probléma továbbra is megoldatlan.
Ez nem az első és az utolsó eset az otthoni eszközök biztonsági problémáival kapcsolatban. A múltban számos olyan eszközről számoltunk be, amelyek komoly biztonsági problémákkal küzdenek, kezdve az olyan összetett dolgoktól, mint a streaming beállítás, az olyan egyszerű objektumokig , mint az intelligens dugó . Ezeknek a korábbi eseteknek emlékeztetniük kell arra, hogy mindig végezzenek ilyen kis kutatást, mielőtt bármilyen eszközt megvásárolnának, amely képes csatlakozni az internethez.