Sikkerhets smutthull oppdaget i media-streaming Smart TV-enheter

I dag beveger et økende antall mennesker seg fra konvensjonell TV og bytter til ulike streamingløsninger som leverer et enda bredere utvalg av innhold uten behov for å la kabelen være hjemme hos deg. Disse forskjellige typene av streaming-maskinvare blir noen ganger referert til som "stream boxes". En slik streaming-boks har nylig blitt oppdaget å inneholde en kritisk feil som gjør det mulig for hackere å gjøre mange dårlige ting med dataene dine.

Den aktuelle streaming-boksen er Hindotech HK1 - en mediestreaming-enhet som kjører på Android og lar deg se onlinevideoer og streamingtjenester som YouTube og Netflix eller Twitch på TV-apparatet. Enheten tillater også installasjon av Android-apper, slik at du får tilgang til forskjellige sosiale medier fra den, på den store skjermen.

Hackere kan få forhøyede privilegier

Det kritiske problemet med maskinvaren er rangert til 9,3 av maksimalt 10 på Common Vulnerability Scoring System Calculator som drives av National Vulnerability Database. Årsaken til denne høye vurderingen er det faktum at sikkerhets smutthullet i streaming-boksen tillater utføring av vilkårlig kode, på rotnivå. Dette er mer eller mindre lik full kontroll over enheten.

Med rottilgang og kjøring av vilkårlig kode kan dårlige skuespillere stjele Wi-Fi-passord, meldinger, tokens for sosiale nettverk, stedsdata og kontaktlister.

Grunnen til at de dårlige skuespillerne i utgangspunktet kan få rotprivilegier, er et problem med tilgangskontroll. En lokal bruker uten privilegier kan eskalere til root. Enheten lider av et problem med feilsøkingsfunksjoner når tilkoblingen opprettes gjennom den serielle porten eller når du bruker en Android Debug Bridge, selv som en vanlig bruker.

En dårlig skuespiller kan få tilgang til skallet uten å angi noen påloggingsinformasjon, og kan eskalere rettighetene til root.

Når root-tilgang er oppnådd, er ingenting utenfor grensene. All data om den vanlige brukeren av enheten er tilgjengelig, samt muligheten til å snuse andre tilkoblede enheter på samme nettverk.

Ingen svar fra produsenten

Hindotech HK1 er produsert av Shenzhen Hindo Technology Co., Ltd - en enhet som opererer utenfor Hong Kong-området. Forskerne fra Sick.Codes som oppdaget sikkerhetsproblemet med streaming-boksen mislyktes i forsøket på å kontakte produsenten om problemet. Selskapets offisielle nettside returnerer fremdeles en intern serverfeil 500 på alle sidene i skrivende stund. Problemet med maskinvaren forblir ikke adressert.

Dette er verken det første eller siste tilfellet av sikkerhetsproblemer med hjemmeenheter. Tidligere har vi dekket flere tilfeller av enheter med alvorlige sikkerhetsproblemer, alt fra noe så komplisert som et streamingoppsett til objekter så enkle som en smart plug . De tidligere tilfellene bør tjene som en påminnelse om å alltid gjøre den ekstra undersøkelsen før du kjøper en enhet som kan koble til Internett.

October 16, 2020

Legg igjen et svar