Brasil, São Paulo, 28 de Agosto de 2020 - Pesquisadores do Laboratório de IoT da Avast descobriram sérias falhas de segurança em dois set-top boxes de TV que podem permitir que os cibercriminosos armazenem malware nos dispositivos, buscando lançar ataques de botnet ou ransomware a partir do uso de um serviço de previsão do tempo. As caixas observadas são fabricadas pelas empresas de eletrônicos para consumidores: Thomson e Philips. O THOMSON THT741FTA e o Philips DTR3502BFTA estão disponíveis em toda a Europa e são frequentemente adquiridos por consumidores europeus para televisores que não suportam DVB-T2, o sinal digital mais atualizado para televisão terrestre que fornece acesso a serviços de TV de alta definição (HD).
A investigação, conduzida pelo Líder da equipe do Laboratório de IoT, Vladislav Iluishin, e pelo Pesquisador de Ameaças à Internet das Coisas, Marko Zbirka, começou em janeiro deste ano e é parte de uma iniciativa contínua da Avast para explorar e testar o posicionamento com relação à segurança de dispositivos habilitados para IoT.
No início de sua análise, Iliushin e Zbirka descobriram que ambos os dispositivos conectados à internet são enviados por seus fabricantes com portas telnet abertas, um protocolo não criptografado de mais de 50 anos e usado para a comunicação com dispositivos ou servidores remotos. Isso pode permitir que um invasor obtenha acesso remoto aos dispositivos e os recrute em botnets, para lançar ataques DDoS (de negação de serviço) ou outros esquemas maliciosos. Iliushin e Zbirka foram bem-sucedidos na execução de binário do difundido botnet Mirai aos dois set-top boxes.
Eles também expuseram a supervisão ligada à arquitetura dos set-top boxes. Ambos os dispositivos contam com Linux Kernel 3.10.23, um privilegiado programa instalado nas caixas em 2016 que serve como uma ponte entre o hardware e o software dos dispositivos, alocando recursos suficientes para que o software seja executado. No entanto, o suporte para a versão 3.10.23 expirou em novembro de 2017, o que significa que os patches para bugs e vulnerabilidades só foram lançados por um ano antes de serem descontinuados, deixando os usuários expostos a potenciais ataques, após isso.
Problemas de segurança adicionais que afetam os dispositivos incluem uma conexão não criptografada entre os set-top boxes e um aplicativo legado pré-instalado do popular serviço de previsão do tempo AccuWeather - uma revelação descoberta por análise de tráfego entre os set-top boxes e o roteador. Uma conexão insegura entre as caixas e o backend do AccuWeather pode permitir que um cibercriminoso modifique o conteúdo que as pessoas veem em suas TVs ou ao usar o aplicativo meteorológico. Por exemplo, um intruso pode exibir uma mensagem de ransomware, alegando que a TV do usuário foi sequestrada e requerer um pagamento para o desbloqueio do dispositivo.
“Os fabricantes devem não apenas ser responsáveis por garantir que os padrões de segurança sejam cumpridos, antes que seus produtos sejam disponibilizados para compra, mas também devem ser responsáveis por protegê-los e, por fim, pela segurança de seus usuários”, disse Iliushin. “Infelizmente, é raro que fabricantes de IoT avaliem como a superfície de ameaças aos seus produtos pode ser reduzida. Ao invés disso, eles contam com o mínimo ou, em casos extremos, desconsideram completamente a segurança de IoT e do cliente visando economizar custos e lançar seus produtos no mercado com mais rapidez”.
Uma análise completa das descobertas foi publicada no Decoded, o blog de Inteligência de Ameaças da Avast. O artigo também inclui recomendações de práticas de segurança para os fabricantes desses dispositivos e consumidores. Para os proprietários desses set-top boxes, algumas dicas importantes foram incluídas abaixo:
- Se você não precisa usar os recursos web do set-top box, não o conecte a sua rede doméstica;
- Faça pesquisas. Sempre compre de marcas estabelecidas e confiáveis, que têm um histórico de suporte de dispositivo e segurança de longo prazo;
- Para os usuários mais avançados, faça login na interface web do roteador e verifique as configurações para ver se o UPnP (Universal Plug and Play) está ativado. Se estiver, recomendamos que desative-o. Também sugerimos verificar a configuração de encaminhamento de porta e desativá-la, a menos que seja absolutamente necessário para os seus objetivos.
Como parte da investigação, Avast contatou a Philips e a Thomson divulgando as descobertas junto com sugestões sobre melhorias para a segurança do produto. Mais detalhes, incluindo recursos visuais, cronogramas e CVEs, podem ser encontrados no link.