在萬物互聯的風潮下,智能裝置愈來愈普及。過去,智能電視可能僅屬電影中的奢侈品,惟自從人們發現電視機頂盒的便利後,加上智能電視價格下調,就更多人購置智能電視。有別於以往被動式的影像播放裝置,新推出的智能電視大都可以執行Android應用程式。不少用家會覺得這類開放式功能非常實用,然而這功能亦會帶來潛在風險。
智能電視可讓用戶觀賞其他國家的視訊頻道,這無疑是項許多消費者都覺得相當實用的功能。問題是,某些應用程式卻會讓用戶暴露在保安危機當中。趨勢科技發現,部分應用程式會攻擊CVE-2014-7911,一個在Android系統存在已久的舊漏洞(Lollipop 5.0 之前的版本:從Cupcake 1.5至Kitkat 4.4W.2),也就是趨勢科技偵測到的ANDROIDOS_ROOTSTV.A惡意程式。
智能電視多Android系統藏漏洞
今日絕大多數智能電視,使用的均為舊版Android系統,因此這個漏洞仍然存在。而這些含有漏洞的智能電視品牌,包括:長虹(Changhong)、康佳(Konka)、小米(Mi)、Philips、Panasonic以及Sharp。其實,其他仍在使用舊版Android的裝置,同樣也存在著危險,只不過剛好這類應用程式,主要應用於智能電視,或智能電視機頂盒而已。
專門散布這類惡意程式的網站,包括http://pf3a.res4f.com、http://www.htvmarket.com、http://mak.wak2p.com、http://wh.waks2.com等,均隸屬於H.TV這個品牌旗下,其用戶大多位於美國或加拿大。黑客會先引誘智能電視用戶,前往上述網站,下載已遭感染的惡意程式。一旦程式安裝到電視機之後,黑客就會觸發系統的漏洞。黑客會利用一些廣為人知的漏洞攻擊技巧,如記憶體塗鴉(heap spraying),或返回指標程式碼(return-oriented programming)來取得系統管理權限。
在取得系統管理權限之後,黑客即會在系統偷偷安裝其他應用程式或惡意程式。據趨勢科技分析,黑客會從遠端更新程式,也會從遠端將相關應用程式推送至電視機上。此外,這些遠端安裝的應用程式,是利用HTTP連線來下載,而非 HTTPS連線。因此,若有「第二個」暗中觀察這項行為的黑客,就能透過中間人攻擊來篡改第一個黑客的下載動作,進而下載別的應用程式到電視機上。
如何保護智能電視
如同智能手機需要安裝保安程式,旦凡變得「智能」以及具備連接功能的任何裝置,都應該考慮保安風險問題。趨勢科技建議用戶可利用其「行動安全防護」軟件,以偵測上述保安威脅。雖然大多數的Android裝置,都很容易升級到最新的系統版本,但智能電視卻礙於硬體設計上的限制,而無法輕易升級。因此,趨勢科技建議在電視機上安裝一套防護軟件,並且避免安裝非Google官方網站提供的應用程式。
沒有留言:
發佈留言