Уязвимость в голосовых пультах Comcast делает возможным прослушивание
Исследователи в области безопасности обнаружили уязвимость, которая до недавнего времени влияла на дистанционное управление Comcast с голосовым управлением. Проблема позволила злоумышленникам взять под контроль устройства и использовать их для прослушивания всего, что происходит рядом с портативным пультом дистанционного управления.
Для устранения этой уязвимости уже выпущен патч. Однако, хотя он все еще не был исправлен, по оценкам, только в США он затронул более 18 миллионов устройств. Исследователи, проводившие исследование, обнаружили, что ранее существовавшая уязвимость позволяла им остановить человека в середине атаки и использовать голосовой пульт Comcast XR11 в качестве маяка, позволяющего подслушивать на расстоянии до 20 метров.
Атака была названа "WarezTheRemote" группой исследователей Guardicore, обнаружившей уязвимость. Вектор атаки состоял в том, что злоумышленник отвечал на исходящие радиочастотные запросы от удаленного устройства.
Если хакеру удалось угадать содержимое запроса, поступающего с пульта дистанционного управления, он мог ответить на него злонамеренным обратным вызовом. Исследователи объяснили, что это может привести к тому, что устройство может принять все, исходящее от хакера, как достоверную информацию, включая обновления прошивки.
Успешная атака дает хакеру полный доступ к взломанному устройству, включая перепрошивку его прошивки. Получив такие повышенные привилегии, злоумышленнику нужно было только перепрыгнуть через несколько последних препятствий, чтобы подслушивать, что происходит рядом с пультом.
Несмотря на то, что эта проблема была исправлена в течение некоторого времени с помощью обновления, она по-прежнему показывает, как полностью подключенное общество, где каждый гаджет является гаджетом IoT, по-прежнему создает множество опасностей, а уязвимости неизбежно подкрадываются даже в устройствах, соответствующих лучшим практикам безопасности и стандарты.
IoT-устройства также часто используются для различных других злонамеренных целей: от захвата и использования в качестве ботов в DDoS-атаках до заражения вредоносными программами для криптомайнинга и использования в качестве рабочих дронов для криптовалютного кошелька хакера.