Scoperta lacuna nella sicurezza nei dispositivi Smart TV per lo streaming di contenuti multimediali

Al giorno d'oggi un numero crescente di persone si sta allontanando dalla televisione convenzionale e sta passando a varie soluzioni di streaming che offrono una varietà ancora più ampia di contenuti senza la necessità di far entrare in casa il tizio del cavo. Questi vari tipi di hardware di streaming sono a volte indicati come "scatole di flusso". È stato scoperto solo di recente che una tale scatola di streaming contiene un difetto critico che consente agli hacker di fare molte cose cattive con i tuoi dati.

Lo streaming box in questione è Hindotech HK1, un dispositivo di streaming multimediale che funziona su Android e ti consente di guardare video online e servizi di streaming come YouTube e Netflix o Twitch sul tuo televisore. Il dispositivo consente anche l'installazione di app Android in modo da poter accedere a vari social media da esso, sul grande schermo.

Gli hacker possono ottenere privilegi elevati

Il problema critico con l'hardware è stato valutato a 9,3 su un massimo di 10 sul Calcolatore del sistema di punteggio delle vulnerabilità comune gestito dal database nazionale delle vulnerabilità. La ragione di questo punteggio elevato è il fatto che la falla di sicurezza nella casella di streaming consente l'esecuzione di codice arbitrario, a livello di root. Questo è più o meno uguale al pieno controllo del dispositivo.

Con l'accesso root e l'esecuzione di codice arbitrario, i malintenzionati possono rubare password Wi-Fi, messaggi, token di account di social network, dati sulla posizione ed elenchi di contatti.

Il motivo per cui i cattivi attori possono ottenere i privilegi di root in primo luogo è un problema con il controllo degli accessi. Un utente locale senza privilegi può passare a root. Il dispositivo soffre di un problema con le funzioni di debug quando la connessione viene effettuata tramite la sua porta seriale o quando si utilizza un Android Debug Bridge, anche come utente normale.

Un cattivo attore può ottenere l'accesso alla shell senza inserire alcun tipo di credenziali di accesso e può quindi aumentare i propri privilegi a root.

Una volta ottenuto l'accesso come root, nulla è vietato. Sono disponibili tutti i dati sull'utente regolare del dispositivo, nonché la possibilità di annusare altri dispositivi collegati sulla stessa rete.

Nessuna risposta dal produttore

L'Hindotech HK1 è prodotto dalla Shenzhen Hindo Technology Co., Ltd, un'entità che opera fuori dall'area di Hong Kong. I ricercatori di Sick.Codes che hanno scoperto il problema di sicurezza con lo streaming box non sono riusciti nei loro tentativi di contattare il produttore in merito al problema. Il sito Web ufficiale dell'azienda sta ancora restituendo un errore interno del server 500 in tutte le sue pagine al momento della stesura di questo documento. Il problema con l'hardware rimane irrisolto.

Questo non è né il primo né l'ultimo caso di problemi di sicurezza con i dispositivi domestici. In passato abbiamo coperto più casi di dispositivi con gravi problemi di sicurezza, che vanno da qualcosa di complesso come una configurazione di streaming a oggetti semplici come una presa intelligente . Quei casi passati dovrebbero servire come promemoria per fare sempre quel po 'di ricerca in più prima di acquistare qualsiasi dispositivo in grado di connettersi a Internet.