Москва, 26 августа 2020 г. — Исследователи из лаборатории Интернета вещей Avast обнаружили серьезные бреши безопасности в двух популярных телевизионных приставках от компаний Thomson и Philips, которые позволяют хранить вредоносные программы на устройствах. Так, злоумышленники могут запускать ботнет-атаки или программы-вымогатели с помощью службы прогнозов погоды/приложения прогноза погоды. Устройства THOMSON THT741FTA и Philips DTR3502BFTA продаются во всех европейских странах и популярны среди потребителей, чьи телевизоры не поддерживают стандарт эфирного цифрового телевидения DVB-T2, который обеспечивает доступ к HD-разрешению. На российском рынке приставки DVB-T2 от Philips и Thomson также присутствуют –– подобные устройства стали особенно популярными после перехода на цифровое телевидение по всей России с 2019 года.
Расследование, которое началось в январе этого года, возглавляли руководитель лаборатории Интернета вещей Lab Владислав Ильюшин и исследователь угроз Интернета вещей Марко Збирка. Это часть инициативы Avast по изучению и тестированию способов защиты для умных устройств.
В начале своего анализа Владислав и Марко обнаружили, что оба производителя поставляют подключаемые к сети приставки с открытыми telnet-портами. Это незашифрованный протокол, которому более 50 лет, –– он используется для связи с удаленными устройствами или серверами. Протокол позволяет злоумышленнику получить удаленный доступ к устройствам и использовать их в бот-сетях для запуска DDoS-атак или других вредоносных схем. Исследователям удалось запустить бинарный файл широко распространенного ботнета Mirai на обеих приставках.
Они также выявили брешь, связанную с архитектурой телевизионных приставок. Оба устройства используют версию ядра Linux Kernel 3.10.23, установленную на приставках в 2016 году. Она служит мостом между аппаратным и программным обеспечением устройств, выделяя программному обеспечению достаточные ресурсы, чтобы оно могло работать. Однако поддержка версии 3.10.23 истекла в ноябре 2017 года, то есть исправления для ошибок и уязвимостей выпускались только в течение одного года. После обновления прекратились, в результате чего пользователи были уязвимы перед потенциальными атакам.
Дополнительные проблемы безопасности, влияющие на устройства, включали незашифрованное соединение между ТВ-приставками и предустановленным устаревшим приложением популярной службы прогнозирования погоды AccuWeather. Это было обнаружено путем анализа трафика между телевизионными приставками и роутером. Небезопасное соединение между приставками и серверной частью AccuWeather могло позволить злоумышленнику изменить контент, который пользователи видят на своих телевизорах при использовании приложения прогноза погоды. Например, злоумышленник может отобразить сообщение программы-вымогателя, в котором утверждается, что телевизор пользователя был взломан, и для его разблокировки требуется оплата выкупа.
«Производители несут ответственность за соблюдение стандартов безопасности не только тогда, когда продают их. Они также несут ответственность за безопасность их дальнейшей эксплуатации пользователями, –– рассказывает Владислав Ильюшин. –– К сожалению, производители IoT-устройств редко могут задуматься, как можно уменьшить угрозы, связанных с их продуктами. Вместо этого они полагаются на минимум или, в крайнем случае, полностью игнорируют IoT-безопасность, чтобы сократить расходы и ускорить вывод своих продуктов на рынок».
Полный анализ был опубликован в блоге Avast с аналитикой угроз Decoded,. В статье также приведены рекомендации по обеспечению безопасности для производителей этих устройств и для потребителей.
В рамках расследования Avast связался с Philips и Thomson, сообщив о результатах и предложениях по улучшению безопасности продукта. Более подробную информацию можно найти в блоге Decoded.