Wykryto lukę w zabezpieczeniach w urządzeniach Smart TV do strumieniowego przesyłania multimediów

W dzisiejszych czasach coraz więcej osób odchodzi od konwencjonalnej telewizji i przechodzi na różne rozwiązania do przesyłania strumieniowego, które zapewniają jeszcze szerszą gamę treści bez konieczności wpuszczania operatora telewizji kablowej do domu. Te różne typy sprzętu do przesyłania strumieniowego są czasami nazywane „skrzynkami strumieniowymi”. Dopiero niedawno odkryto, że jedno z takich urządzeń do przesyłania strumieniowego zawiera krytyczną lukę, która pozwala hakerom robić wiele złych rzeczy z Twoimi danymi.

Omawianym urządzeniem do przesyłania strumieniowego jest Hindotech HK1 - urządzenie do przesyłania strumieniowego multimediów, które działa na systemie Android i umożliwia oglądanie filmów online i usług przesyłania strumieniowego, takich jak YouTube i Netflix lub Twitch, na telewizorze. Urządzenie umożliwia również instalację aplikacji na Androida, dzięki czemu można uzyskać z niego dostęp do różnych mediów społecznościowych na dużym ekranie.

Hakerzy mogą uzyskać podwyższone uprawnienia

Krytyczny problem ze sprzętem został oceniony na 9,3 z maksymalnie 10 w kalkulatorze Common Vulnerability Scoring System, obsługiwanym przez National Vulnerability Database. Przyczyną tak wysokiej oceny jest fakt, że luka bezpieczeństwa w oknie przesyłania strumieniowego pozwala na wykonanie dowolnego kodu na poziomie głównym. Jest to mniej więcej równe pełnej kontroli nad urządzeniem.

Dzięki dostępowi do konta root i wykonywaniu dowolnego kodu złoczyńcy mogą kraść hasła Wi-Fi, wiadomości, tokeny kont sieci społecznościowych, dane o lokalizacji i listy kontaktów.

Powodem, dla którego źli aktorzy mogą uzyskać uprawnienia roota, jest problem z kontrolą dostępu. Lokalny użytkownik bez uprawnień może przejść do roota. Na urządzeniu występuje problem z funkcjami debugowania, gdy połączenie jest nawiązywane przez port szeregowy lub podczas korzystania z mostka debugowania systemu Android, nawet jako zwykły użytkownik.

Zły aktor może uzyskać dostęp do powłoki bez wprowadzania jakichkolwiek danych logowania, a następnie może zwiększyć swoje uprawnienia do roota.

Po uzyskaniu dostępu do roota nic nie jest zabronione. Dostępne są wszelkie dane o zwykłym użytkowniku urządzenia, a także możliwość podsłuchiwania innych podłączonych urządzeń w tej samej sieci.

Brak odpowiedzi od producenta

Hindotech HK1 jest produkowany przez Shenzhen Hindo Technology Co., Ltd - podmiot działający poza terenem Hongkongu. Badacze z Sick.Codes, którzy odkryli problem z bezpieczeństwem urządzenia do przesyłania strumieniowego, nie zdołali skontaktować się z producentem w sprawie problemu. Oficjalna strona internetowa firmy nadal zwraca wewnętrzny błąd serwera 500 na wszystkich swoich stronach w momencie pisania tego tekstu. Problem ze sprzętem pozostaje nierozwiązany.

Nie jest to ani pierwszy, ani ostatni przypadek problemów z bezpieczeństwem urządzeń domowych. W przeszłości omawialiśmy wiele przypadków urządzeń z poważnymi problemami z bezpieczeństwem, od czegoś tak złożonego, jak konfiguracja przesyłania strumieniowego, po obiekty tak proste, jak inteligentna wtyczka . Te przeszłe przypadki powinny służyć jako przypomnienie, aby zawsze przeprowadzić dodatkowe badania przed zakupem jakiegokolwiek urządzenia, które może łączyć się z Internetem.

October 16, 2020

Zostaw odpowiedź