Мільйони смарт-телевізорів вразливі для хакерів

Мільйони смарт-телевізорів вразливі для хакерів

Ось невелике попередження для вас, якщо ви власник смарт-телевізора або плануєте придбати його: мільйони пристроїв мають уразливі місця безпеки, які дозволять хакерам віддалено змінювати канали, рівень гучності тощо. І виробники цих пристроїв можуть відстежувати та збирати багато інформації про ваші звички перегляду, напевно, більше, ніж ви хотіли б.


optad_b

Некомерційні споживчі звіти зробили це відкриття в цілому оцінка конфіденційності та безпеки провідних брендів інтелектуального телебачення, який він провів у співпраці з охоронною фірмою Від'єднати та науково-дослідний інститут Рейтинг цифрових прав .

Це не вперше недоліки безпеки та конфіденційності були знайдені в смарт-телевізорах та інших розумних побутових приладах. Однак на підключені до Інтернету телевізори припадає більше 60 відсотків пристроїв поставляються у всьому світі , ці занепокоєння обтяжують. Тож, хоча ви насолоджуєтесь можливістю дивитися улюблену послугу потокового передавання на телевізорі з великим екраном, ви також повинні остерігатися проблем, пов’язаних із безпекою та конфіденційністю, які вона може простежити.



Чому розумні телевізори вразливі

Серед декількох популярних розумних телевізорів Consumer Reports розглядалися телевізори Samsung та TCL, а також пристрої, які використовують Рік Встановлено, що платформа Smart TV має недоліки безпеки.

'Ми просто шукали належну практику безпеки', - каже Марія Реречіх, яка контролює тестування електроніки в Consumer Reports. 'Шифрування особистих або конфіденційних даних, захист від загальних вразливостей тощо.'

Дослідники виявили, що пристрої Samsung і TCL мають вразливі місця, які можуть дозволити хакерам 'перекачувати гучність від шепоту до гучних рівнів, швидко кружляти по каналах, відкривати тривожний вміст YouTube або виштовхувати телевізор з мережі WiFi'. Однак подвиги не дозволять зловмисникам підглядати користувачів або збирати інформацію з їх телевізорів, зазначається у звіті.

У випадку пристроїв TCL недоліки були виявлені в інтерфейсах прикладного програмування (API) базової платформи Roku TV, яка також використовується в пристроях інших компаній, таких як Sharp, Hisense, LG та власні потокові пристрої Roku. API - це набір функцій, що забезпечують взаємодію між різним програмним та апаратним забезпеченням. Компанії та розробники використовують API Roku для створення додатків для своїх пристроїв.



Відсутність безпеки у віддалених викликах API платформи Roku без перевірок безпеки. 'Це означає, що навіть надзвичайно нехитрі хакери можуть взяти під контроль Rokus', - каже Ісон Гудале, провідний інженер 'Disconnect'. 'Це менше замкнених дверей, а більше прозорої завіси біля неонової вивіски' Ми відкриті! '.'

Для використання вразливості хакеру потрібен доступ до цільових телевізорів Wi-Fi. Це може статися, якщо користувача ноутбука або смартфона в одній мережі обманюють встановити шкідливе програмне забезпечення -заражений додаток або відвідування веб-сторінки зі шкідливим кодом.

Експлойт Samsung трохи складніший і працював би лише на пристрої, який раніше взаємодіяв і отримав доступ до цільового телевізора.

'Смарт-телевізори нічим не відрізняються від будь-яких інших загальних пристроїв [Інтернету речей (IoT)], що працюють на добре відомому програмному забезпеченні, що містить власні слабкі місця та слабкі місця', - каже Кестас Малакаускас, SVP з кібербезпеки в ЧИЙ ШІ , компанія, яка забезпечує безпеку та мережеві рішення. 'Це лише питання часу, коли в програмному забезпеченні X буде виявлено нову вразливість, а експлойти будуть розроблені та надані в природі для кожного злочинця чи хакера'.

Малакаускас зазначає, що майже всі смарт-телевізори мають вбудовані браузери, які він називає 'просто черговим вектором для завантаження та виконання шкідливого коду'. І на відміну від наших ноутбуків та смартфонів, апаратні та програмні обмеження розумних побутових приладів заважають їм працювати антивірус і антишпигунські інструменти .

Однак не всі погоджуються з тим, що вразливі місця, виявлені Consumer Reports, мають критичний характер. «Року вимагає, щоб потенційний зловмисник сидів у одній локальній мережі (Wi-Fi). У цей момент у вас виникають більші проблеми ', - говорить Шон Салліван, радник з питань безпеки та дослідник фірми з кібербезпеки F-Secure . Уразливість Samsung включає занадто багато 'якщо', каже Салліван, покладаючи дуже високу вартість для хакера, який хоче попрацювати з гучністю вашого смарт-телевізора. 'Я не думаю, що хакери будуть мотивовані цією' вразливістю '', - говорить він.



Однак Малакаускас зазначає, що, хоча розумні телевізори можуть виглядати не дуже цікавою мішенню для хакерів, вони завжди можуть працювати як шлюзи для хакерів, щоб закріпитися в мережі вашого будинку і рухатися збоку, щоб викрасти інформацію з інших пристроїв.

Ризики конфіденційності смарт-телевізорів

Усі смарт-телевізори, які розглядали Consumer Reports, вимагали від користувачів втратити дані перегляду, щоб використовувати підключені функції пристрою. 'Ми виявили, що не завжди легко зрозуміти, на що ви погоджуєтесь, виконуючи процес налаштування', - йдеться у звіті. 'І якщо ви відмовите в дозволах, ви можете втратити вражаючу кількість функціональних можливостей'.

Більшість смарт-телевізорів використовують автоматичне розпізнавання вмісту (ACR), технологію, яка дозволяє виробникам ідентифікувати та класифікувати вміст, який ви переглядаєте. Сюди входять кабельні, ефірні трансляції, потокові послуги і навіть DVD та Blu-ray диски. ACR збирає з телевізора зразки аудіо, відео та метаданих та надсилає їх виробнику, який потім аналізує дані, щоб зрозуміти ваші уподобання, і рекомендує інші шоу, які вам можуть бути цікаві для перегляду. Але він також використовує цю інформацію в рекламних та маркетингових цілях. 'Пізніше ви не зможете легко переглянути або видалити ці дані', - зазначає Consumer Report.

Деякі телевізори дозволяють користувачам вимкнути ACR, одночасно погоджуючись на базову угоду про конфіденційність. Однак навіть ці основні угоди про конфіденційність можуть вимагати від вас відмовитись від свого місцезнаходження, яких потокових програм ви натискаєте та багато іншого. Погодження з умовами позбавить вас 'розумних' функцій вашого телевізора. 'Ви можете підключити кабельну коробку або антену, але ви не зможете нічого передавати з Amazon, Netflix або інших веб-служб', - зазначає Consumer Report.

Найгірші налаштування конфіденційності були виявлені у смарт-телевізорі Sony, який працює від Google Android TV платформа. Процес налаштування прямо вимагає від користувачів прийняти політику конфіденційності Google.

“Те, що тималиприйняти умови Google, подобаються їм чи ні, аби просто налаштувати пристрій, здавалося мені більшою проблемою, ніж усі інші [висновки] », - говорить Салліван із F-Secure. “Не кажучи вже про те, що зараз є повідомлення про Телевізори Android піддаються компрометації в Китаї крипто-майнером '.

Салліван каже, що ACR не обов'язково є проблемою конфіденційності на пристроях, на яких користувач не вимагає входу в певний онлайн-рахунок. 'Але у випадку з телевізорами Android, я вважаю, що вимога (або близька до вимоги) підключення облікового запису може бути проблемою / вектором, що забезпечує небажану націлену на різних платформах рекламу', - говорить він.

Останнє дослідження Consumer Report демонструє ширші виклики з якими стикається індустрія споживачів IoT. У 2016 році вразливі пристрої IoT дозволили хакерам запустити найбільша в історії розподілена атака відмови в обслуговуванні (DDoS) , порушуючи доступ до Інтернет-послуг у великих регіонах по всьому світу.

'У цій галузі бути першим на ринку все-таки набагато важливіше, ніж принципи проектування безпеки, що застосовуються в кожному програмному забезпеченні Smart TV', - говорить Малакаускас.

'На жаль, це звична практика, і не лише для смарт-телевізорів', - погоджується Йоссі Атіас, генеральний менеджер з питань безпеки IoT в Dojo by Bullguard , стартап конфіденційності та безпеки IoT. “Постачальники пристроїв користуються перевагою нестачі знань та обізнаності споживачів щодо конфіденційності в цілому. Це завжди маскується довгими складними юридичними заявами, які користувачі, як правило, не ігнорують. Постачальники не повинні примушувати торговельні функції до конфіденційності. Це зміниться лише в тому випадку, якщо регулятори вступлять і змушують продавців пристроїв зберігати конфіденційність користувача за замовчуванням '.

Як захистити свій розумний телевізор

'Без належної видимості мережевого трафіку пересічному споживачеві дуже важко навіть знати, чи не зламаний його пристрій', - говорить Атіас.

Однак Є кілька заходів, які можуть мінімізувати поверхню атаки користувачів, припускає Атіас:

  • Постійно оновлюйте прошивку смарт-телевізора та запущені на ньому програми (більшість смарт-телевізорів мають опцію автоматичного оновлення).
  • Віддайте перевагу дротовим з’єднанням бездротовим, оскільки їх важче компрометувати.
  • Купуйте розумні телевізори лише у перевірених постачальників, які мають досвід регулярного виправлення помилок та випуску оновлень безпеки.
  • Не підключайте USB-накопичувачі до телевізора, оскільки вони можуть містити шкідливе програмне забезпечення.

Малакаускас від CUJO рекомендує чітко розуміти умови та політику конфіденційності перед активацією будь-якої послуги на вашому смарт-телевізорі. “Майбутній Є.У. Загальний регламент про захист даних (GDPR) змусить продавців надавати більш детальну та чітку заяву про Політику конфіденційності, яка дозволить споживачам зрозуміти, які дані будуть збиратися та як вони будуть використовуватися », - говорить він. Звичайно, це не обов’язково допоможе споживачам у США

Малакаускас також застерігає від використання загальних браузерів на смарт-телевізорах, оскільки вони не мають вбудованого контролю безпеки для захисту від зловмисних веб-атак.

Споживачі також можуть встановити a розумний пристрій захисту будинку такі як CUJO, Dojo або F-Secure Sense. Ці пристрої використовують набір методів, таких як моніторинг поведінки пристроїв та перевірка пакетів, щоб виявити та заблокувати зловмисну ​​активність у вашій домашній мережі. Доданий рівень безпеки, який забезпечують розумні домашні захисні пристрої, може заповнити властиві вразливості, які існують у пристроях IoT.

Бен Діксон - інженер програмного забезпечення та засновник TechTalks . Слідкуйте за його твітами на @ bendee983 та його оновлення на Facebook .

Примітка редактора: Ця стаття оновлена ​​для ясності.