Анализ угроз

В популярных ТВ-приставках от Thomson и Philips обнаружены уязвимости

Avast Security Blogger, 27 августа 2020

Уязвимости в приставках DVB-T2 от THOMSON и Philips отражают отношение производителей к обеспечению безопасности IoT-устройств.

Исследователи из Лаборатории интернета вещей Avast обнаружили серьезные бреши безопасности в двух популярных телевизионных приставках от компаний Thomson и Philips, которые делают из уязвимыми для вредоносных программ.

Так, злоумышленники могут запускать ботнет-атаки или программы-вымогатели с помощью службы прогноза погоды.

Устройства THOMSON THT741FTA и Philips DTR3502BFTA продаются во всех европейских странах и популярны среди потребителей, чьи телевизоры не поддерживают стандарт эфирного цифрового телевидения DVB-T2, который обеспечивает доступ к HD-разрешению. На российском рынке приставки DVB-T2 от Philips и Thomson также присутствуют — подобные устройства стали особенно популярными после всероссийского перехода на цифровое телевидение с 2019 года.

Расследование, которое началось в январе этого года, возглавляли руководитель Лаборатории интернета вещей (IoT Lab) Владислав Ильюшин и исследователь IoT-угроз Марко Збирка.

В начале исследователи обнаружили, что оба производителя поставляют подключаемые к сети приставки с открытыми telnet-портами. Это незашифрованный протокол, которому более 50 лет. Он используется для связи с удаленными устройствами или серверами. Протокол позволяет злоумышленнику получить удаленный доступ к устройствам для запуска DDoS-атак или других вредоносных схем. Экспертам удалось запустить бинарный файл широко распространенного ботнета Mirai на обеих приставках.

Они также выявили брешь, связанную с архитектурой телевизионных приставок. Оба устройства используют версию ядра Linux Kernel 3.10.23, установленную на приставках в 2016 году. Она служит мостом между аппаратным и программным обеспечением устройств, выделяя программному обеспечению достаточные ресурсы, чтобы оно могло работать. Однако поддержка версии 3.10.23 истекла в ноябре 2017 года, то есть исправления для ошибок и уязвимостей выпускались только в течение одного года. После обновления прекратились, в результате чего пользователи стали уязвимы перед потенциальными атаками.

Дополнительные проблемы безопасности, влияющие на устройства, включали незашифрованное соединение между ТВ-приставками и предустановленным устаревшим приложением популярной службы прогноза погоды AccuWeather. Это было обнаружено путем анализа трафика между телевизионными приставками и роутером. Небезопасное соединение между приставками и серверной частью AccuWeather могло позволить злоумышленнику изменить контент, который пользователи видят на своих телевизорах при использовании приложения прогноза погоды. Например, злоумышленник может отобразить сообщение программы-вымогателя, в котором утверждается, что телевизор пользователя был взломан, и для его разблокировки требуется оплата выкупа.

«Производители несут ответственность за соблюдение стандартов безопасности не только тогда, когда продают их. Они также несут ответственность за безопасность их дальнейшей эксплуатации пользователями, — рассказывает Владислав Ильюшин. — К сожалению, производители IoT-устройств редко могут задуматься, как можно уменьшить угрозы, связанных с их продуктами. Вместо этого они полагаются на минимум или, в крайнем случае, полностью игнорируют IoT-безопасность, чтобы сократить расходы и ускорить вывод своих продуктов на рынок».

Советы для владельцев цифровых приставок DVB-T2

1. Если вам не нужно использовать «умные» функции телеприставки, не подключайте ее к домашней сети.

2. Изучайте поставщика. Всегда покупайте у признанных, надежных брендов, у которых есть история долгосрочной поддержки устройств и работы над безопасностью.

3. Совет для более опытных пользователей: войдите в интерфейс вашего роутера и проверьте настройки, чтобы увидеть, включен ли универсальный Plug and Play (UPnP). Если он работает, мы рекомендуем вам отключить его. Мы также предлагаем проверить конфигурацию переадресации портов и отключить ее, если это не является абсолютно необходимым для ваших целей.

В рамках расследования мы связались с Philips и Thomson, сообщив о результатах и предложениях по улучшению безопасности продукта. Полный анализ был опубликован в блоге, посвященном анализу угроз, Decoded

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter