Bezpečnost | Hacking | Televize

Až 90 % chytrých televizorů lze hacknout. Přes DVB-T!

Bezpečnostní expert vytvořil nový koncept sofistikovaného útoku, jehož terčem jsou tzv. chytré televizory. Stačí k tomu falešný DVB-T vysílač a potenciální útočník dokáže získat administrátorská oprávnění nebo možnost spustit libovolný škodlivý kód. Na hrozbu upozornila Ars Technica.

Ohrožena je většina chytrých televizorů

Rafael Scheel prezentoval své odhalení na bezpečnostní konferenci EBU (European Broadcasting Union). Jeho způsob útoku se přitom výrazně odlišuje od podobných pokusů o ovládnutí chytrých televizorů. Lze ho totiž provést ze vzdáleného místa, bez jakékoli interakce s uživatelem a navíc na pozadí.

V praxi je tato technika nenápadná a téměř neodhalitelná. Nejhorší na celé situaci je to, že podle vyjádření bezpečnostního experta trpí zranitelností až 90 procent televizorů prodaných v posledních letech. Seznam testovaných či ohrožených modelů však nebyl zveřejněn.

Hlavním předpokladem pro úspěšné provedení útoku je chytrý televizor s připojením na internet a podporující standard HbbTV. Nezáleží přitom, jakým způsobem je přijímán samotný signál, technologii HbbTV lze úspěšně zneužít prostřednictvím standardů DVB-T, DVB-C i přes IPTV.

Výzkumník v rámci demonstrace využil miniaturní DVB-T vysílač, který sestrojil z běžně dostupných elektronických součástek. Útočné zařízení ho přitom nestálo více než 150 dolarů (tj. cca 3 800 Kč).

Útoky lze realizovat v masivním měřítku

Falešný terestriální vysílač může mít dosah až na stovky domácností. Kromě toho, někteří poskytovatelé kabelové televize využívají právě DVB-T vysílání pro retransmisi. Tím se potenciální dosah výrazně zvyšuje. V krajním případě by však mohl posloužit například i dron nesoucí DVB-T vysílač.

Na místě je otázka, jak přimět televizor, respektive oběť, aby si naladila vysílání obsahující nebezpečný HbbTV obsah. Odpovědí je jedna ze základních vlastností moderních televizorů – upřednostní vždy silnější zdroj digitálního pozemního vysílání. Divák tak nedokáže zjistit, zda je zařízení připojeno k legitimnímu vysílači nebo ne.

Závěrečnou fází je samotný útok. HbbTV je součástí DVB-T signálu, který televizor zpracovává ihned po zvolení televizní stanice. Nejčastějším příkazem využívaným v HbbTV je inicializace a načtení cílové webové stránky na pozadí.

Právě díky této funkci lze vytvořit nenápadný přístup do televizoru nic netušícího uživatele. Rafael Scheel vytvořil speciální internetové stránky, jejichž součástí byl i škodlivý kód. Ten využil dvojici starších zranitelností v jádru webového prohlížeče integrovaného v chytrých televizorech.

Výsledkem bylo získání administrátorského přístupu a plné kontroly nad infikovaným televizorem. Kyberzločinci by následně mohli do zařízení nainstalovat jakýkoliv další malware, špehovat cílovou osobu s využitím integrované kamery či mikrofonu, krást uložené přihlašovací údaje, provádět DDoS útoky proti webovým stránkám a mnoho jiného.

Nezjistitelný a napořád

Uvedený typ útoku je prakticky nemožné vystopovat. Stačí přibližně jedna minuta falešného vysílání a zařízení se automaticky infikuje. Přítomné nejsou žádné stopy či indicie, že infiltrace proběhla právě prostřednictvím DVB-T vysílání.

Samostatnou kapitolou jsou bezpečnostní chyby. V tomto konkrétním případě byly zneužity zranitelnosti staré více než dva roky. Problémem je, že výrobci televizorů nejsou nuceni pravidelně opravovat svůj firmware a ten zůstává i několik let děravý.

Navíc, škodlivý kód může být vytvořen takovým způsobem, že bude blokovat všechny pokusy o kontrolu a instalaci aktualizací. Bezpečnostní expert na závěr uvedl, že jeho koncept malwaru zůstal v televizoru přítomen i po obnovení na tovární nastavení.

Videozáznam z přednášky:

Diskuze (38) Další článek: Výsledky simulace naznačují, že 68 % vesmíru ve skutečnosti nemusí existovat

Témata článku: Bezpečnost, Hacking, Televize, Kód, Zajímavosti, IPTV, Tel, Uvedený typ, Pozemní vysílání, Hlavní předpoklad, Televizní stanice, Ivysílání české televize, Podobný pokus, Televizor, Vzdálené místo, Webová stránka, Smart TV, Pokus, Signal, Ars Technica, Samostatná kapitola, Broadcast, Zařízení, Chytrý televizor, Vysílač, Mini drony na Mall.cz


Určitě si přečtěte

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 91

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

** Klasický počítač bezchybně zpracuje bit po bitu dat ** Mozek si realitu naopak spíše představuje a chybuje ** Teď se tím baví internet u další optické iluze

Jakub Čížek | 32

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

** Microsoft aktualizuje Windows 10 dvakrát ročně ** Jenže praktických novinek už není tolik jako dříve ** Poslali jste nám skoro 300 tipů, co by se měly Desítky ještě naučit

Jakub Čížek | 134

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

** Windows 10 tu jsou už čtyři roky, první verze dorazila 29. 7. 2015 ** Desítky měly nahradit neúspěšnou řadu Windows 8.x ** I po letech však systém budí emoce a zůstává kočkopsem

Jakub Čížek | 111



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF