Większość telewizorów smart można zaatakować złośliwym sygnałem TV

Większość prezentowanych do tej pory ataków przeciwko SmartTVbyła w zasadzie niegroźna. Albo konieczny był fizyczny dostęp dokonkretnego modelu telewizora, albo polegano na uruchamianiuuzłośliwionych aplikacji androidowych. Atak zaprezentowany przezRafaela Scheela, badacza ze szwajcarskiej firmy Oneconsult, to jednakzupełnie nowy poziom – nie tylko pozwala na zdalny atak bezjakiejkolwiek interakcji ze strony użytkownika, ale też działa nazdecydowanej większości dostępnych dziś na rynku urządzeń.

Hybrid Broadcast Broadband TV (HbbTV) to standard branżowyopracowany przez konsorcjum zrzeszające większość dostawcówtelewizji cyfrowej, producentów przystawek telewizyjnych itelewizorów – a jego celem jest rozwój mechanizmów dostarczaniatelewizji internetowej przez ujednolicony interfejs. W ten sposóbcyfrowa telewizja może być transmitowana z przeróżnych źródeł,czy to z satelity, czy z naziemnych multipleksów, czy też przeznormalne łącza internetowe.

A co, jeśli takie źródło jest złośliwe? Wyobraźmy sobietransmiter DVB-T, który rozgłasza sygnał na danym terenie.Piracki, nierejestrowany, działający z jeżdżącej po mieściefurgonetki. Budowa takiego transmitera to (korzystając z części zchińskich sklepów) koszt nie przekraczający 200 dolarów.Telewizory zaprojektowane są tak, że będą łączyły się zsilniejszym sygnałem, przedkładając lokalną transmisję nadsłabszy sygnał z daleka. Nikt przecież nie pomyślał o tym, bytelewizor i nadawca wzajemnie musiały się sobie uwierzytelnić.

W ten sposób można by było uruchomić piracką telewizję, itakie rzeczy się robi w wielu miastach Zachodu. Rafael Scheelpokazał jednak, że można zrobić coś więcej. Ot, robimyretransmisję sygnału „legalnej” telewizji, tyle że sygnał tenzawiera dodatkowe polecenia dla telewizora. Standard HbbTV pozwalamiędzy innymi na wywoływanie wewnętrznych funkcji telewizora, wtym otwieranie jego przeglądarki i przechodzenie na wskazane stronyinternetowe.

Scheel zbudował więc taki uzłośliwiony nadajnik, którynadając sygnał telewizyjny dołączał do niego przekierowaniewbudowanej przeglądarki na jego własne strony internetowe. Na tychstronach hostowany był złośliwy kod, exploit pozwalający nauzyskanie roota na telewizorze.

Pierwszy z ataków polegał na znanej podatności we Flashu. Kiedyostatni raz aktualizowaliście Flash Playera w telewizorze Smart? Nowłaśnie, exploit z 2015 roku, CVE-2015-3090,z gotowym modułem Metasploita, okazał się działać na takimsprzęcie bardzo dobrze – to przepełnienie bufora przy pracyshadera nad bitmapami.

Na szczęście nie wszystkie jednak telewizory smart mają Flasha.Na nieszczęście wszystkie mają silniki JavaScriptu. Drugi atakwykorzystywał więc znany atak na webkitowy silnik, wykorzystującysortowanie elementów tablicy, array.prototype.sort(). To jużdziałało na wszystkich SmartTV – i jak wyjaśnia Scheele,pozwoliło mu nie tylko uruchomić swój kod na przeglądarce, aledostać się do firmware urządzenia.

Osiągnięcie szwajcarskiego badacza jest ciosem dla producentówtelewizorów Smart. Ich poziom zabezpieczeń jest kiepski, nie ma tużadnych norm, cały ekosystem wydaje się być zaprojektowany wręczz myślą o potrzebach ludzi w czarnych kapeluszach. O ile dziśkomputery i coraz więcej smartfonów dostaje poprawki w cyklachmiesięcznych, to w wypadku telewizorów mamy sytuację, w którejniektóre luki pozostają niezałatane przez całe lata.

Dodatkowo atak przeprowadzony przez HbbTV jest atakiem niemal niedo wykrycia. Połączenie działa przecież tylko w jedną stronę,napastnika złapać można tylko na gorącym uczynku, gdy ma włączonypiracki nadajnik. Jego uruchomienie może zaś potrwać ledwie minutęczy dwie – to wystarczy, by przesłać złośliwe komendysterujące.

Po przeprowadzeniu zaś ataku, telewizor na dobre staje sięwłasnością napastnika. Usunięcie złośliwego kodu jestpraktycznie niemożliwe. O ile wielu użytkowników pecetów umieuruchomić na nich antywirusa, a nawet zreinstalować system, to wwypadku telewizorów… no właśnie. Malware przejmuje kontrolę nadmechanizmem aktualizacji firmware, dla zwykłego użytkownika jedynądrogą pozbycia się infekcji jest odwożenie telewizora do serwisu.Dlaczego jednak miałby to robić, jeśli malware nie przeszkadza wpodstawowych funkcjach, a jedynie czyni smartTV końcówką botnetu,wykorzystywaną do np. ataków DDoS?