Säkerhet kryphål upptäckt i Media Streaming Smart TV-enheter

Numera flyttar allt fler människor från konventionell TV och byter till olika strömmande lösningar som levererar ett ännu bredare utbud av innehåll utan att behöva släppa kabelkillen i ditt hus. De olika typerna av strömmande hårdvara kallas ibland för "strömrutor". En sådan strömmande ruta har nyligen upptäckts att den innehåller en kritisk brist som gör det möjligt för hackare att göra mycket dåliga saker med dina data.

Strömmande ruta i fråga är Hindotech HK1 - en mediastreaming-enhet som körs på Android och låter dig titta på onlinevideor och streamingtjänster som YouTube och Netflix eller Twitch på din TV-apparat. Enheten tillåter också installation av Android-appar så att du kan komma åt olika sociala medier från den, på den stora skärmen.

Hackare kan få förhöjda privilegier

Det kritiska problemet med hårdvaran har fått 9,3 av högst 10 i Common Vulnerability Scoring System Calculator som drivs av National Vulnerability Database. Anledningen till detta höga betyg är det faktum att säkerhetshålet i strömmande rutan möjliggör exekvering av godtycklig kod på rotnivå. Detta är mer eller mindre lika med full kontroll över enheten.

Med root-åtkomst och exekvering av godtycklig kod kan dåliga aktörer stjäla Wi-Fi-lösenord, meddelanden, sociala nätverkskontotoken, platsdata och kontaktlistor.

Anledningen till att de dåliga aktörerna i första hand kan få root-privilegier är ett problem med åtkomstkontroll. En lokal användare utan behörigheter kan eskalera till root. Enheten lider av ett problem med felsökningsfunktioner när anslutning görs via dess seriella port eller när du använder en Android Debug Bridge, även som en vanlig användare.

En dålig skådespelare kan få tillgång till skalet utan att ange någon form av inloggningsuppgifter och kan sedan eskalera sina privilegier till root.

När root-åtkomst har erhållits är ingenting begränsat. All information om den vanliga användaren av enheten är tillgänglig, liksom möjligheten att sniffa andra anslutna enheter i samma nätverk.

Inget svar från tillverkaren

Hindotech HK1 tillverkas av Shenzhen Hindo Technology Co., Ltd - en enhet som arbetar utanför Hong Kong-området. Forskarna från Sick.Codes som upptäckte säkerhetsproblemet med streamingboxen misslyckades i sina försök att kontakta tillverkaren om problemet. Företagets officiella webbplats returnerar fortfarande ett internt serverfel 500 på alla dess sidor när detta skrivs. Problemet med hårdvaran förblir oadresserad.

Detta är varken det första eller det sista fallet av säkerhetsproblem med hemapparater. Tidigare har vi täckt flera fall av enheter med allvarliga säkerhetsproblem, allt från något så komplicerat som en streaminginstallation till objekt så enkla som en smart kontakt . De tidigare fallen bör fungera som en påminnelse om att alltid göra den extra undersökningen innan du köper en enhet som kan ansluta till Internet.