流媒体智能电视设备中发现的安全漏洞

如今，越来越多的人不再使用传统的电视，而是转向各种流媒体解决方案，这些解决方案可以提供更广泛的内容，而无需让电缆专家进入您的房屋。那些各种类型的流硬件有时被称为“流盒”。直到最近才发现一个这样的流媒体盒包含一个严重的漏洞，该漏洞使黑客能够对您的数据进行很多不良处理。

有问题的流媒体盒是Hindotech HK1，它是一种运行在Android上的媒体流媒体设备，可让您在电视机上观看在线视频和流媒体服务，例如YouTube和Netflix或Twitch。该设备还允许安装Android应用程序，因此您可以在大屏幕上从中访问各种社交媒体。

黑客可以获得特权

在国家漏洞数据库（National Vulnerability Database）运营的通用漏洞评分系统计算器上，硬件的关键问题被评为9.3（满分10）。如此之高的原因是，流传输盒中的安全漏洞允许在根级别执行任意代码。这或多或少等于完全控制设备。

通过root访问和任意代码执行，不良行为者可以窃取Wi-Fi密码，消息，社交网络帐户令牌，位置数据和联系人列表。

不良行为者首先获得root特权的原因是访问控制的问题。没有特权的本地用户可以升级到root用户。当通过其串行端口进行连接或使用Android Debug Bridge（即使是普通用户）进行连接时，设备也会遇到调试功能方面的问题。

错误的参与者可以在无需输入任何登录凭据的情况下访问shell，然后可以将其特权提升为root。

一旦获得根访问权限，一切都将成为可能。可获得有关设备常规用户的任何数据，以及嗅探同一网络上其他已连接设备的能力。

制造商无回应

Hindotech HK1由深圳Hindo Technology Co.，Ltd制造，该公司是在香港以外地区经营的实体。来自Sick.Codes的研究人员发现了流媒体盒的安全性问题，但他们尝试就此问题与制造商联系的尝试失败。在撰写本文时，该公司的官方网站仍在其所有页面上返回内部服务器错误500。硬件问题仍未解决。

这既不是家庭设备安全问题的第一个案例，也不是最后一个案例。过去，我们涉及过很多设备存在严重安全问题的情况，从诸如流设置之类的复杂问题到诸如智能插件之类的简单对象。那些过去的情况应该提醒人们，在购买任何可以连接到Internet的设备之前，总是要多做一些研究。