Praha, 26. srpna 2020 – Výzkumníci z IoT Labu Avastu objevili závažné bezpečnostní chyby ve dvou oblíbených televizních set-top boxech. Ty kyberzločincům umožňují uložit na zařízení malware a spustit botnet útoky, nebo do set-top boxů vložit ransomware prostřednictvím služby předpovědi počasí. Jedná se o zařízení Thomson THT 741 FTA a Philips DTR3502BFTA dostupná po celé Evropě a oblíbená zejména mezi zákazníky, jejichž televizor nepodporuje nejnovější digitální signál DVB-T2 umožňující HD rozlišení.

Výzkum pod vedením výzkumníka IoT hrozeb Marka Žbirky a vedoucího IoT Labu Vladislava Iliushina probíhá od ledna tohoto roku a je součástí iniciativy Avastu analyzovat a testovat zabezpečení zařízení podporujících internet věcí.

Z analýzy vyplynulo, že IoT zařízení výrobci odesílají zákazníkům s otevřenými telnet porty a více než 50 let starými nezašifrovanými protokoly. Tím umožňují útočníkům získat k set-top boxům vzdálený přístup a prostřednictvím botnetů z nich spustit DDoS útoky nebo jiné škodlivé úkony. Výzkumníkům Avastu se tak v laboratoři podařilo v obou set-top boxech spustit kód známého botnetu Mirai.

Zásadní nedostatek odhalili Iliushin a Žbirka také v architektuře set-top boxů. Obě zařízení totiž od roku 2016 běží na systému Linux Kernel 3.10.23. Ten alokuje softwaru dostatečné zdroje a tím umožňuje jeho fungování, slouží tak jako most mezi hardwarem a softwarem. Podpora verze 3.10.23 však vypršela již v listopadu 2017. Od té doby tak zařízení nemají aktualizovanou ochranu aktualizovaném a jejich uživatelé jsou neustále vystavení potenciálním hrozbám.

Mezi bezpečnostní problémy těchto zařízení patří také nezašifrované propojení mezi set-top boxy a předinstalovanou aplikací známé služby pro předpověď počasí AccuWeather, které výzkumníci odhalili sledováním provozu mezi set-top boxy a routerem. Nezajištěné propojení mezi set-top boxy a AccuWeather umožňuje kyberzločincům měnit obsah, který diváci při používání aplikace vidí. Útočníci tak mohou například zobrazit uživatelům zprávu, že jejich televizor byl zablokován a žádat výkupné.

„Výrobci jsou zodpovědní nejen za dodržování běžných bezpečnostních standardů svých zařízení, ale odpovídají také za jejich celkové online zabezpečení a tím i za bezpečnost uživatelů,“ říká Vladislav Iliushin. „Bohužel výrobci IoT zařízení dokáží málokdy správně vyhodnotit, jak snížit množství zranitelných míst. Místo toho se spoléhají na základní minimum, nebo se o zabezpečení IoT a svých zákazníků dokonce vůbec nezajímají, aby svůj produkt dostali rychleji na trh.“

Kompletní analýza zjištění byla zveřejněna na blogu Decoded, kde experti Avastu publikují technické analýzy hrozeb. Článek také obsahuje doporučené bezpečnostní pokyny pro výrobce těchto zařízení i to, jak by se měli chovat spotřebitelé. Pro majitele těchto set-top boxů uvádíme několik základních doporučení:

1. Pokud nepotřebujete používat internetové funkce set-top boxu, nepřipojujte ho k domácí síti.
2. Udělejte si vlastní rešerši. Vždy nakupujte od známých, důvěryhodných značek, které dlouhodobě řeší podporu zařízení a jejich zabezpečení. 
3. Pokud jste pokročilejší uživatel, přihlaste se k rozhraní svého routeru a zkontrolujte nastavení, zdali je povolena technologie UPnP (Universal Plug and Play). Pokud ano, doporučujeme ji deaktivovat. Doporučujeme také zkontrolovat konfiguraci předávání portů a deaktivovat ji, pokud ji nezbytně nepotřebujete. 

Avast se v rámci výzkumu obrátil na společnosti Philips i Thomson a zveřejnil výsledky spolu s návrhy na zlepšení bezpečnosti výrobků. Více podrobností naleznete v odkazu výše.