騰訊安全移動安全實驗室揭秘智能電視漏洞攻擊

手機被黑了,可能你的照片、文檔等隱私信息都會被泄露,可你以為電視就不會了嗎?事實上,智能電視被黑的潛在危險遠比你想象中的大!在近日舉辦的FiT 2019互聯網安全創(chuàng)新大會白帽Live中,騰訊安全移動安全實驗室?guī)怼吨悄芗揖影踩?mdash;—“策反”你的智能電視》議題分享,并現場演示了通過入侵智能電視,任意播放視頻、開啟智能臺燈的“驚嚇”一幕。

騰訊安全移動安全實驗室的安全研究員韓紫東為大家揭曉了Live攻擊場景背后的原理:利用針對智能電視DLNA協(xié)議以及擴展功能進行遠程下載、安裝并執(zhí)行在云端配置好的木馬應用程序,黑掉智能電視后,就可以利用被“策反”的電視向家庭中其他設備發(fā)起攻擊,最終達到長期控制智能家居設備的效果。

智能電視存在多重安全漏洞 極易成為攻擊者的“幫兇”

據騰訊安全移動安全實驗室介紹,DLNA是IoT互聯基礎協(xié)議框架和接口標準,幾乎被市面上絕大多數的智能電視廠商設備支持,并在協(xié)議框架中進行功能拓展,添加自定義服務,許多安裝于電視、盒子等智能設備之上的第三方應用也會默認開啟DLNA服務,豐富其功能。而不法黑客正是利用此類漏洞可以做到瀏覽IoT設備文件資源,非法調用智能設備服務,播放任意多媒體資源,遠程安裝執(zhí)行木馬應用完全控制智能電視等IoT設備。

　　(騰訊安全移動安全實驗室披露利用智能電視攻擊思路)

Live中演示中“中招”的智能電視并非個例。據騰訊安全移動安全實驗室研究發(fā)現,市面上多家主流品牌智能電視存在類似的安全隱患:一方面在對DLNA的基礎協(xié)議上沒有進行身份認證,導致攻擊者可以穿透內網控制電視多媒體播放內容;另一方面,手機端相應的電視遠控APP存在漏洞,攻擊者可以通過對App進行破解或漏洞利用,偽造通信協(xié)議,向電視發(fā)起遠程植入木馬后門的指令,達到長期控制電視的目的,甚至還可以利用電視,對受害者進行錄音或者植入挖礦程序獲利。

智能家居設備互聯潛藏隱患 IoT設備風險或將擴大化

作為騰訊安全七大聯合實驗室矩陣之一,騰訊安全移動安全實驗室長期專注于移動安全與IoT安全、設備安全等方面的研究?；谠谝苿悠脚_攻擊經驗的積累和對智能家居安全的深入研究,騰訊安全移動安全實驗室發(fā)現,通過智能電視,智能路由器以及智能音箱等高級智能家居設備等“跳板”,攻擊者能夠輕易實現對目標智能家居的長期有效控制。

從整個智能家居安全體系來看,騰訊安全移動安全實驗室將智能家居風險分為攻擊來源、攻擊擴散和攻擊接收三個層級,其中智能電視等“更智能”的高級智能家居設備間尤其存在潛藏的隱患,利用這些智能設備的多功能以及多聯通性,家庭IoT的風險或將進一步擴大化,并導致受害者智能家居被長期控制的風險。

　　(騰訊安全移動安全實驗室智能家居安全體系化思考)

據介紹,智能電視、智能路由器、智能音箱等高級智能家居設備,一方面本身的功能豐富,導致被攻擊后產生危害較大,例如劫持音箱和電視竊聽用戶隱私,攻擊路由器劫持流量;另一方面這些設備在家中與其他設備或用戶交互頻繁的場景更多,一旦受到攻擊利用,極可能形成長期持久化的安全威脅。

移動端、云端、設備端安全覆蓋 全方位守護IoT安全

基于智能家居安全涉及多重流程和復雜的生態(tài),騰訊安全移動安全實驗室從風險審計、安全加固、數據防護等方面提供一套完整的體系化安全解決方案,實現移動端、設備端、云端對IoT安全的全面安全防護,保障數據安全、代碼安全以及可信身份認證下的通信安全,且適用于智能家居、智慧零售、智能安防等多種IoT場景,為廣大企業(yè)和家庭用戶的IoT設備安全保駕護航。

具體而言,在智能設備管控APP端,騰訊安全移動安全實驗室提供App安全審計,定制分析IoT威脅的攻擊入口;并通過開展App安全加固,保護業(yè)務控制代碼不被攻擊者輕易獲取。在IoT設備場景上,根據不同的IoT設備落地場景,審計分析IoT固件安全風險,提供完整的安全解決報告與應急響應服務支撐;安全加固通過安全應用開發(fā)套件,配合IoT開發(fā)階段的安全集成以及測試上線階段的安全測評響應,保護IoT設備在智能化場景下的設備安全性及數據可靠性。在業(yè)務通信側,提供物聯網設備唯一性安全服務,給IoT設備在智能家居等場景中的身份識別提供基礎技術支撐,增強業(yè)務通信過程中安全性和可靠性,保護設備在與業(yè)務服務器通信中的可信場景,防止設備被篡改偽造后造成的不安全通信下造成的數據泄露等風險。

此外,騰訊安全移動安全實驗室提醒廣大智能家居、安防等IoT設備廠商和提供DLNA服務應用開發(fā)者,尤其是在公共場合使用的互聯網電視產品廠家,需格外重視近距離攻擊威脅和近場的安全防護,嚴格過濾DLNA服務請求,驗證敏感操作請求來源,以防范此類惡意利用給用戶帶來潛在的社會風險和損失。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。