Brecha de segurança descoberta em dispositivos Smart TV de streaming de mídia

Hoje em dia, um número cada vez maior de pessoas está se afastando da televisão convencional e mudando para várias soluções de streaming que oferecem uma variedade ainda maior de conteúdo sem a necessidade de deixar o cara da TV em sua casa. Esses vários tipos de hardware de streaming às vezes são chamados de "caixas de stream". Só recentemente foi descoberto que uma dessas caixas de streaming contém uma falha crítica que permite que os hackers façam muitas coisas ruins com seus dados.

A caixa de streaming em questão é o Hindotech HK1 - um dispositivo de streaming de mídia que roda em Android e permite assistir vídeos online e serviços de streaming como YouTube e Netflix ou Twitch em seu aparelho de televisão. O aparelho também permite a instalação de aplicativos Android para que você possa acessar diversas mídias sociais a partir dele, na tela grande.

Hackers podem obter privilégios elevados

O problema crítico com o hardware foi classificado em 9,3 de um máximo de 10 na Calculadora do Sistema de Pontuação de Vulnerabilidade Comum operada pelo Banco de Dados de Vulnerabilidade Nacional. A razão para esta alta classificação é o fato de que a brecha de segurança na caixa de streaming permite a execução de código arbitrário, no nível raiz. Isso é mais ou menos igual ao controle total sobre o dispositivo.

Com o acesso root e a execução arbitrária de códigos, os malfeitores podem roubar senhas de Wi-Fi, mensagens, tokens de contas de redes sociais, dados de localização e listas de contatos.

O motivo pelo qual os malfeitores podem obter privilégios de root é um problema com o controle de acesso. Um usuário local sem privilégios pode escalar para root. O dispositivo apresenta um problema com as funções de depuração quando a conexão é feita por meio de sua porta serial ou ao usar um Android Debug Bridge, mesmo como um usuário regular.

Um malfeitor pode obter acesso ao shell sem inserir qualquer tipo de credencial de login e, então, escalar seus privilégios para root.

Uma vez que o acesso root é obtido, nada está fora dos limites. Todos os dados sobre o usuário regular do dispositivo estão disponíveis, bem como a capacidade de farejar outros dispositivos conectados na mesma rede.

Sem resposta do fabricante

O Hindotech HK1 é fabricado pela Shenzhen Hindo Technology Co., Ltd - uma entidade que opera fora da área de Hong Kong. Os pesquisadores do Sick.Codes que descobriram o problema de segurança com a caixa de streaming falharam em suas tentativas de contatar o fabricante sobre o problema. O site oficial da empresa ainda está retornando um Erro 500 do servidor interno em todas as suas páginas no momento da redação deste artigo. O problema com o hardware permanece sem solução.

Este não é o primeiro nem o último caso de problemas de segurança com dispositivos domésticos. No passado, cobrimos vários casos de dispositivos com sérios problemas de segurança, desde algo tão complexo como uma configuração de streaming até objetos tão simples como um plugue inteligente . Esses casos anteriores devem servir como um lembrete para sempre fazer uma pesquisa extra antes de comprar qualquer dispositivo que possa se conectar à Internet.