Расследование, которое началось в январе этого года, возглавляли руководитель лаборатории Интернета вещей Lab Владислав Ильюшин и исследователь угроз Интернета вещей Марко Збирка. Это часть инициативы Avast по изучению и тестированию способов защиты для умных устройств.
В начале своего анализа Владислав и Марко обнаружили, что оба производителя поставляют подключаемые к сети приставки с открытыми telnet-портами. Это незашифрованный протокол, которому более 50 лет, он используется для связи с удаленными устройствами или серверами. Протокол позволяет злоумышленнику получить удаленный доступ к устройствам и использовать их в бот-сетях для запуска DDoS-атак или других вредоносных схем. Исследователям удалось запустить бинарный файл широко распространенного ботнета Mirai на обеих приставках.
Они также выявили брешь, связанную с архитектурой телевизионных приставок. Оба устройства используют версию ядра Linux Kernel 3.10.23, установленную на приставках в 2016 году. Она служит мостом между аппаратным и программным обеспечением устройств, выделяя программному обеспечению достаточные ресурсы, чтобы оно могло работать. Однако поддержка версии 3.10.23 истекла в ноябре 2017 года, то есть исправления для ошибок и уязвимостей выпускались только в течение одного года. После обновления прекратились, в результате чего пользователи были уязвимы перед потенциальными атакам.
Дополнительные проблемы безопасности, влияющие на устройства, включали незашифрованное соединение между ТВ-приставками и предустановленным устаревшим приложением популярной службы прогнозирования погоды AccuWeather. Это было обнаружено путем анализа трафика между телевизионными приставками и роутером. Небезопасное соединение между приставками и серверной частью AccuWeather могло позволить злоумышленнику изменить контент, который пользователи видят на своих телевизорах при использовании приложения прогноза погоды. Например, злоумышленник может отобразить сообщение программы-вымогателя, в котором утверждается, что телевизор пользователя был взломан, и для его разблокировки требуется оплата выкупа.
«Производители несут ответственность за соблюдение стандартов безопасности не только тогда, когда продают их. Они также несут ответственность за безопасность их дальнейшей эксплуатации пользователями, — рассказывает Владислав Ильюшин. — К сожалению, производители IoT-устройств редко могут задуматься, как можно уменьшить угрозы, связанных с их продуктами. Вместо этого они полагаются на минимум или, в крайнем случае, полностью игнорируют IoT-безопасность, чтобы сократить расходы и ускорить вывод своих продуктов на рынок».
Полный анализ был опубликован в блоге Avast с аналитикой угроз Decoded. В статье также приведены рекомендации по обеспечению безопасности для производителей этих устройств и для потребителей.
Эксперты по кибербезопасности дали несколько важных советов владельцам DVB-T2-приставок:
- Если вам не нужно использовать «умные» функции телеприставки, не подключайте ее к домашней сети.
- Изучайте поставщика. Всегда покупайте у признанных, надежных брендов, у которых есть история долгосрочной поддержки устройств и работы над безопасностью.
- Совет для более опытных пользователей: войдите в интерфейс вашего роутера и проверьте настройки, чтобы увидеть, включен ли универсальный Plug and Play (UPnP). Если он работает, мы рекомендуем вам отключить его. Мы также предлагаем проверить конфигурацию переадресации портов и отключить ее, если это не является абсолютно необходимым для ваших целей.
В рамках расследования Avast связался с Philips и Thomson, сообщив о результатах и предложениях по улучшению безопасности продукта. Более подробную информацию можно найти в блоге Decoded.