Beveiligingsgat ontdekt in mediastreaming Smart TV-apparaten

Tegenwoordig wijkt een toenemend aantal mensen af van conventionele televisie en schakelen ze over op verschillende streamingoplossingen die een nog grotere verscheidenheid aan inhoud leveren zonder de kabelman in huis te hoeven laten. Deze verschillende soorten streaming hardware worden soms "stream boxes" genoemd. Pas onlangs is ontdekt dat een van deze streamingboxen een kritieke fout bevat waardoor hackers veel slechte dingen met uw gegevens kunnen doen.

De streamingbox in kwestie is de Hindotech HK1 - een mediastream-apparaat dat op Android draait en waarmee je online video's en streamingdiensten als YouTube en Netflix of Twitch op je televisie kunt bekijken. Het apparaat maakt ook de installatie van Android-apps mogelijk, zodat u er op het grote scherm toegang toe hebt tot verschillende sociale media.

Hackers kunnen verhoogde privileges krijgen

Het kritieke probleem met de hardware is beoordeeld als 9,3 van een maximum van 10 op de Common Vulnerability Scoring System Calculator, beheerd door de National Vulnerability Database. De reden voor deze hoge waardering is het feit dat de beveiligingslek in de streamingbox de uitvoering van willekeurige code op rootniveau mogelijk maakt. Dit staat min of meer gelijk aan volledige controle over het apparaat.

Met root-toegang en uitvoering van willekeurige code kunnen kwaadwillenden Wi-Fi-wachtwoorden, berichten, tokens voor sociale netwerkaccounts, locatiegegevens en contactlijsten stelen.

De reden dat de slechte actoren in de eerste plaats rootprivileges kunnen krijgen, is een probleem met toegangscontrole. Een lokale gebruiker zonder privileges kan escaleren naar root. Het apparaat lijdt aan een probleem met foutopsporingsfuncties wanneer er verbinding wordt gemaakt via de seriële poort of bij gebruik van een Android Debug Bridge, zelfs als een gewone gebruiker.

Een slechte actor kan toegang krijgen tot de shell zonder enige soort inloggegevens in te voeren en kan vervolgens zijn rechten escaleren naar root.

Zodra root-toegang is verkregen, is niets verboden terrein. Alle gegevens over de gewone gebruiker van het apparaat zijn beschikbaar, evenals de mogelijkheid om andere aangesloten apparaten op hetzelfde netwerk te snuffelen.

Geen reactie van de fabrikant

De Hindotech HK1 wordt vervaardigd door Shenzhen Hindo Technology Co., Ltd - een entiteit die opereert vanuit de regio Hong Kong. De onderzoekers van Sick.Codes die het beveiligingsprobleem met de streamingbox ontdekten, slaagden er niet in om contact op te nemen met de fabrikant over het probleem. De officiële website van het bedrijf retourneert op het moment van schrijven nog steeds een interne serverfout 500 op al zijn pagina's. Het probleem met de hardware blijft niet verholpen.

Dit is noch het eerste, noch het laatste geval van beveiligingsproblemen met thuisapparaten. In het verleden hebben we meerdere gevallen behandeld van apparaten met ernstige beveiligingsproblemen, variërend van zoiets ingewikkelds als een streamingopstelling tot objecten zo simpel als een slimme stekker . Die gevallen uit het verleden zouden moeten dienen als een herinnering om altijd dat extra beetje onderzoek te doen voordat je een apparaat koopt dat verbinding kan maken met internet.