流媒體智能電視設備中發現的安全漏洞

如今，越來越多的人不再使用傳統的電視，而是轉向各種流媒體解決方案，這些解決方案可以提供更廣泛的內容，而無需讓電纜專家呆在家裡。那些各種類型的流硬件有時被稱為“流盒”。直到最近才發現一個這樣的流媒體盒包含一個嚴重的漏洞，該漏洞使黑客能夠對您的數據進行很多不良處理。

有問題的流媒體盒是Hindotech HK1，它是一種運行在Android上的媒體流設備，可讓您在電視機上觀看在線視頻和流媒體服務，例如YouTube和Netflix或Twitch。該設備還允許安裝Android應用程序，因此您可以在大屏幕上從中訪問各種社交媒體。

黑客可以獲得特權

在國家漏洞數據庫（National Vulnerability Database）運營的通用漏洞評分系統計算器上，硬件的關鍵問題被評為9.3（滿分10）。如此之高的原因是，流傳輸盒中的安全漏洞允許在根級別執行任意代碼。這或多或少等於完全控制設備。

通過root訪問和任意代碼執行，不良行為者可以竊取Wi-Fi密碼，消息，社交網絡帳戶令牌，位置數據和聯繫人列表。

不良行為者首先獲得root特權的原因是訪問控制的問題。沒有特權的本地用戶可以升級到root用戶。當通過其串行端口進行連接或使用Android Debug Bridge（即使是普通用戶）進行連接時，設備也會遇到調試功能方面的問題。

錯誤的參與者可以在無需輸入任何登錄憑據的情況下訪問shell，然後可以將其特權提升為root。

一旦獲得根訪問權限，一切都將成為可能。可獲得有關設備常規用戶的任何數據，以及嗅探同一網絡上其他已連接設備的能力。

製造商無回應

Hindotech HK1由深圳Hindo Technology Co.，Ltd製造，該公司是在香港以外地區經營的實體。來自Sick.Codes的研究人員發現了流媒體盒的安全性問題，但他們嘗試就此問題與製造商聯繫的嘗試失敗。在撰寫本文時，該公司的官方網站仍在其所有頁面上返回內部服務器錯誤500。硬件問題仍未解決。

這既不是家庭設備安全問題的第一個案例，也不是最後一個案例。過去，我們涉及過很多設備存在嚴重安全問題的情況，從諸如流設置之類的複雜問題到諸如智能插件之類的簡單對象。那些過去的情況應該提醒人們，在購買任何可以連接到Internet的設備之前，總是要多做一些研究。