TCLのAndroidTVには、ファイルの書き換えを可能にする欠陥が含まれていると報告されています
Sick Codesのハンドルを握るセキュリティ研究者は、情報セキュリティで働いている2人の同僚と一緒に調査を行い、いくつかの不快な発見を思いつきました。セキュリティ分析のトリオは、TCLAndroidテレビに重大なセキュリティ上の欠陥があることを発見しました。
調査は3か月にわたって行われ、メーカーのスマートテレビに重大なセキュリティ問題が見つかった。抜け穴により、悪意のある人物がWi-Fi経由でテレビのファイルシステムにアクセスし、文書化されていないTCP / IPポートを悪用することができました。
これにより許可されたアクセスの範囲には、デバイスのファイルシステムからの情報のスクレイピング、デバイスからのファイルの削除、および資格情報を必要としない既存のファイルの上書きが含まれていました。
3人の研究者が行った問題をさらに調査したところ、メーカーが提供する「TerminalManagerRemote」というアプリが実際にはバックドアとして機能していることがわかりました。これにより、研究者たちは、この問題は見落としではなく意図的な選択であり、製造業者が任意のユニットにアクセスしてソフトウェアとファイルに変更を加えることができるという結論に至りました。
彼らの主張を証明するために、Sick Codesと彼の同僚は、アフリカにある任意のテレビにアクセスできたという証拠を提供しました。一度入ると、ユーザーがテレビの電源を入れたままにしておけば、テレビのファイルシステムでやりたいことが何でもできました。さらに、調査によると、同じTCL製品ラインのRokuベースのユニットは、このセキュリティ上の欠陥の影響を受けませんでした。
TCLから意味のある応答を得ることができなかったため、SickCodesはこの問題を米国CERTに持ち込みました。 CERTは、TCLから適切な対応が得られない場合に、問題を公に開示することを承認しました。
しばらくして、TCLは問題を認識し、「修正に取り組んでいる」という公式声明を発表しました。
同様の事件は、インターネット対応のテクノロジーを購入することで、家に不要なゲストを入れることがいかに簡単であるかを強調するためにのみ機能します。人々が自宅用に豪華な新しいガジェットを購入することを検討する場合、利便性は常に大きな要因ですが、特に通常のユーザーにとって、それらの新しいガジェットがどれほど安全であるかを判断することはしばしば不可能です。だからこそ、購入することに決めた派手な新技術について十分な調査を行うことは常に良い考えです。