Nowe luki w Samsung SmartTV: telewizor będzie oglądał Ciebie?

Złośliwe oprogramowanie na PC to zagrożenie, którego użytkownicyświadomi są od wielu lat. Złośliwe oprogramowanie na telefonach czytabletach to coś, do czego właśnie się przyzwyczajamy. Złośliweoprogramowanie na telewizorach? I do tego będziemy musieliprzywyknąć. W miarę jak kolejne generacje odbiorników TV stają sięcoraz „sprytniejsze”, rośnie liczba luk w ichoprogramowaniu, które napastnicy mogą z łatwością wykorzystać dozainfekowania telewizora, przejęcia wrażliwych danych jegowłaściciela, czy nawet szpiegowania go przez wbudowaną kamerę.Z nastaniem ery urządzeń określanych jako „Smart TV”ziściło się jedno z proroctw Roku 1984 Orwella: telewizorprzestał być już tylko czymś do oglądania programu telewizyjnego,teraz telewizor może posłużyć do oglądania i podsłuchiwania widza.Zarówno przed tym, jak i wieloma innymi zagrożeniami ostrzegają Aaron Grattafior i Josh Yavor, badacze z firmy ISEC Partners, którzypodczas ostatniej konferencji Black Hat pokazali, jak łatwo jestnapastnikom przejąć kontrolę nad jedną z najpopularniejszych platform„sprytnych” telewizorów – Samsung Smart TV.[img=samsung-smartTV]Czym jest Samsung Smart TV? Tam gdzie końcowy klient widzi dużytelewizor, na którym można surfować po Sieci czy grać w Angry Birdsbez podłączania do niego żadnego dodatkowego urządzenia, tam hakerujrzy linuksowe urządzenie, na którym działa bazująca na silnikuWebKit przeglądarka i wirtualna maszyna Javy. Gdy haker przyjrzy sięim bliżej, będzie miał powody do radości – pełno tam luk, którew desktopowych i mobilnych wersjach dawno zostały załatane. Podczas swojej prezentacji badacze pokazali m.in. jak wykorzystaćpodatności w Javie i SmartHubie telewizora do przejęcia kontroli nadwbudowaną kamerą, jak wykorzystać zatrucie DNS i ataki drive-by przezprzeglądarkę, by wykraść dane logowania użytkownika do serwisówinternetowych, a nawet hasło do domowej sieci Wi-Fi. To jednak nic wporównaniu do ataku na klienta Skype, który okazał się podatny nawstrzykiwanie wrogiego kodu przez opisy statusu (mood messages),pozwalające na zrestartowanie aplikacji, a w teorii także naprzejęcie wszystkich przechowywanych przez Skype'a na telewizorzedanych.Grattafiori i Yavor twierdzą, żeplatforma Samsunga jest praktycznie bezbronna wobec hakerów –brakuje w niej podstawowych mechanizmów bezpieczeństwa, takich jakzapory sieciowe czy silne mechanizmy uwierzytelniania. W połączeniu zdostępem do Sieci, mechanizmem zdalnych aktualizacji systemuoperacyjnego i aplikacji ograniczonym do tego, co zaoferujeproducent, oraz brakiem ochrony antywirusowej, Smart TV jest gratkądla każdego twórcy malware. Badacze z ISEC Partners nie sąpierwszymi, którzy znaleźli luki w Smart TV. W grudniu 2012 r.eksperci z firmy ReVuln przedstawiliatak 0-day, wymierzony w telewizory Samsunga, ale koreańskiproducent uznał go za mało znaczący, zapowiadając wówczas wydaniepoprawki wraz ze styczniowymi aktualizacjami. Teraz na załatanie lukdotyczących niektórych interfejsów programowania Smart TVwłaścicielom tych telewizorów przyjdzie poczekać do 2014 roku. Oczywiście Samsung nie jestjedynym producentem mającym problemy z bezpieczeństwem swoich„sprytnych” telewizorów. Niemało jest też np. exploitówna platformęGoogle TV jest już dziś całkiem sporo. Platformy innychproducentów na razie wydają się względnie bezpieczne, ale niewiadomo, czy jest to zasługa ich architektury, czy też po prostudominującej pozycji Samsunga na rynku (w pierwszym kwartale 2013 r.co czwarty sprzedany Smart TV był wyprodukowany przez koreańskiegogiganta).