90% smart televizora može biti hakovano sa daljine, a da korisnici to i ne primete

Vesti, 05.04.2017, 19:55 PM

90% smart televizora može biti hakovano sa daljine, a da korisnici to i ne primete

Broj uređaja povezanih sa internetom eksponencijalno raste, a sa tim raste i opasnost od njih.

Većina IoT uređaja, uključujući smart televizore, frižidere, mirkotalasne pećnice, sigurnosne kamere i štampače, česta su meta hakera koji ih koriste kao oružje u sajber napadima.

Raste i broj bot mreža sastavljenih od IoT uređaja. Jedna od njih, trenutno verovatno najveća IoT bot mreža, je bot mreža Mirai koja se pojavila krajem prošle godine kada je postala poznata posle DDoS napada na DynDNS servis. Problemi do kojih je tada doveo Mirai pokazali su koliko je lako hakovati IoT uređaje.

Bezbednosni istraživač Rafael Šil, koji radi za švajcarsku firmu Oneconsult, upozorio je prošle nedelje na još jednu IoT pretnju - smart televizore nad kojima hakeri mogu preuzeti potpunu kontrolu i to čak i ako nemaju fizički pristup ovim uređajima.

Zbog brojnih ograničenja u do sada viđenim napadima na smart televizore, Šil ih nije smatrao istinski opasnim, te je zato odlučio da osmisli svoj napad. Njegov napad može biti izveden sa daljine, bez interakcije korisnika, a funkcioniše tako da korisnik ne primeti da mu je televizor hakovan.

On je razvio napad u kome je koristio jeftini DVB-T predajnik sa opremom koja se može kupiti za 50 - 150 dolara, i emitovao DVB-T (Digital Video Broadcasting - Terrestrial) signal. Lažnim TV signalima mogu se isporučivati maliciozne komande.

Svaki obližni televizor će se povezati na jači signal. Lažni DVB-T signali koji se emituju ka obližnjim uređajima, mogu omogućiti napadačima da dobiju root pristup na smart televizorima, i da ih koriste na način na koji to žele - od pokretanja DDoS napada do špijuniranja korisnika.

Šil je demonstrirao napad tokom prezentacije na seminaru Evropske radiodifuzne unije gde je izneo tvrdnju da je oko 90% smart televizora koji su prodati prošle godine podložno sličnim napadima.

Napad koristi dve ranjivosti u web browserima koji rade u pozadini. Kada ih kompromituju, napadači se mogu sa daljine povezati sa televizorom preko interneta koristeći interfejs koji im omogućava da preuzmu potpunu kontrolu nad uređajem.

Kada je kompromitovan, televizor može biti inficiran tako da niti restartovanje uređaja, niti fabričko resetovanje ne može ne bi pomoglo žrtvi da se otarasi infekcije.

Šilov napad je jedinstven i opasniji od svih napada na smart televizora koje smo videli do sad.

Ranije viđeni napadi su zahtevali fizički pristup ciljanom uređaju (da bi napadač mogao da uključi USB sa koga će biti pokrenut maliciozni kod) ili društveni inženjering, što znači da hakeri moraju da prevare korisnike smart televizora da instaliraju malicioznu aplikaciju na televizoru. To hakere izlaže riziku da budu uhvaćeni, ali i ograničava broj uređaja koji mogu biti hakovani.

I CIA nije odmakla daleko kada je reč o hakovanju smart televizora. Američka obaveštajna agencija koristi alat "Weeping Angel" kojim je moguće preuzeti kontrolu nad Samsung smart televizorima i pretvoriti ih u uređaje koji špijuniraju korisnike. Uprkos značajnim ljudskim i finansijskim resursima kojima raspolaže CIA, njen alat za hakovanje smart televizora zahteva fizički pristup kako bi se instalirao Weeping Angel, što znači da on ne može biti korišćen za masovne napade, već samo za hakovanje jednog po jednog uređaja, u pažljivo planiranim operacijama.

Šilov exploit eliminiše uslov da hakeri imaju fizičku kontrolu nad uređajem, i može da funkcioniše protiv velikog broja uređaja odjednom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje