90% smart televizora može biti hakovano sa daljine, a da korisnici to i ne primete

Vesti, 05.04.2017, 19:55 PM

90% smart televizora može biti hakovano sa daljine, a da korisnici to i ne primete

Broj uređaja povezanih sa internetom eksponencijalno raste, a sa tim raste i opasnost od njih.

Većina IoT uređaja, uključujući smart televizore, frižidere, mirkotalasne pećnice, sigurnosne kamere i štampače, česta su meta hakera koji ih koriste kao oružje u sajber napadima.

Raste i broj bot mreža sastavljenih od IoT uređaja. Jedna od njih, trenutno verovatno najveća IoT bot mreža, je bot mreža Mirai koja se pojavila krajem prošle godine kada je postala poznata posle DDoS napada na DynDNS servis. Problemi do kojih je tada doveo Mirai pokazali su koliko je lako hakovati IoT uređaje.

Bezbednosni istraživač Rafael Šil, koji radi za švajcarsku firmu Oneconsult, upozorio je prošle nedelje na još jednu IoT pretnju - smart televizore nad kojima hakeri mogu preuzeti potpunu kontrolu i to čak i ako nemaju fizički pristup ovim uređajima.

Zbog brojnih ograničenja u do sada viđenim napadima na smart televizore, Šil ih nije smatrao istinski opasnim, te je zato odlučio da osmisli svoj napad. Njegov napad može biti izveden sa daljine, bez interakcije korisnika, a funkcioniše tako da korisnik ne primeti da mu je televizor hakovan.

On je razvio napad u kome je koristio jeftini DVB-T predajnik sa opremom koja se može kupiti za 50 - 150 dolara, i emitovao DVB-T (Digital Video Broadcasting - Terrestrial) signal. Lažnim TV signalima mogu se isporučivati maliciozne komande.

Svaki obližni televizor će se povezati na jači signal. Lažni DVB-T signali koji se emituju ka obližnjim uređajima, mogu omogućiti napadačima da dobiju root pristup na smart televizorima, i da ih koriste na način na koji to žele - od pokretanja DDoS napada do špijuniranja korisnika.

Šil je demonstrirao napad tokom prezentacije na seminaru Evropske radiodifuzne unije gde je izneo tvrdnju da je oko 90% smart televizora koji su prodati prošle godine podložno sličnim napadima.

Napad koristi dve ranjivosti u web browserima koji rade u pozadini. Kada ih kompromituju, napadači se mogu sa daljine povezati sa televizorom preko interneta koristeći interfejs koji im omogućava da preuzmu potpunu kontrolu nad uređajem.

Kada je kompromitovan, televizor može biti inficiran tako da niti restartovanje uređaja, niti fabričko resetovanje ne može ne bi pomoglo žrtvi da se otarasi infekcije.

Šilov napad je jedinstven i opasniji od svih napada na smart televizora koje smo videli do sad.

Ranije viđeni napadi su zahtevali fizički pristup ciljanom uređaju (da bi napadač mogao da uključi USB sa koga će biti pokrenut maliciozni kod) ili društveni inženjering, što znači da hakeri moraju da prevare korisnike smart televizora da instaliraju malicioznu aplikaciju na televizoru. To hakere izlaže riziku da budu uhvaćeni, ali i ograničava broj uređaja koji mogu biti hakovani.

I CIA nije odmakla daleko kada je reč o hakovanju smart televizora. Američka obaveštajna agencija koristi alat "Weeping Angel" kojim je moguće preuzeti kontrolu nad Samsung smart televizorima i pretvoriti ih u uređaje koji špijuniraju korisnike. Uprkos značajnim ljudskim i finansijskim resursima kojima raspolaže CIA, njen alat za hakovanje smart televizora zahteva fizički pristup kako bi se instalirao Weeping Angel, što znači da on ne može biti korišćen za masovne napade, već samo za hakovanje jednog po jednog uređaja, u pažljivo planiranim operacijama.

Šilov exploit eliminiše uslov da hakeri imaju fizičku kontrolu nad uređajem, i može da funkcioniše protiv velikog broja uređaja odjednom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje