飛利浦2013款中高端智能電視被曝存安全漏洞

kjddkun · 發(fā)表于 2014-4-1 13:58

智能電視現(xiàn)在已經在許多消費者客廳中的扮演著重要的角色，但是既然作為智能設備，那么安全性就同樣非常重要。根據(jù)最新的報告顯示，飛利浦智能電視的最新版本固件目前存在了一個并不安全的Miracast無線網絡漏洞，可以讓潛在攻擊者通過遠程信號控制電視以及進行未經授權的操作。

來自Malta機構的研究人員在基于ReVulu公司最近公布的一段演示視頻后表示，攻擊者可以通過飛利浦智能電視在連接到不安全的無線網絡后發(fā)起攻擊。這些潛在的攻擊方式包括訪問電視的配置文件、訪問通過USB存儲裝置的文件、連接到電視、廣播視頻、音頻和電視圖像，甚至可以通過外部的電視遙控應用程序來從電視中的Cookie中竊取用戶網站的身份驗證。通過Miracast打開不安全的網絡后，用戶在通過臺式電腦、平板電腦、手機或其它設備中投射到電視屏幕上的圖像就會被黑客竊取。

ReVulu安全機構的研究人員在上周五的郵件中表示，飛利浦智能電視最弱的固件系統(tǒng)在通過特定的DIRECT-xy和標識符接入到無線網絡后，就有可能陷入成為攻擊目標。

“所以基本上用戶可以沒有任何限制的直接將電視接入到無線網絡中，”研究人員表示?！癕iracast功能是默認啟用并且無法更改密碼的，我們曾經嘗試所有可能的方法按照飛利浦電視使用手冊中的建議來重置，但是電視依然允許任何人都可以進行連接?！?br />
通常智能電視都不會采取任何額外的安全措施，比如為每一個無線客戶端生成獨特的密匙，在想要連接電視機之前進行手動授權等。

這個問題也能并不存在于所有的飛利浦智能電視中，而只是針對最新版本的固件才發(fā)現(xiàn)了這個漏洞。通過在一些賣場中運行舊版本固件的電視進行測試，并沒有發(fā)現(xiàn)此次提到的漏洞。

研究人員測試的是飛利浦55英寸的55PFL6008S智能電視，相信還有另外許多2013年款的型號都存在同樣的問題，因為這些電視使用的都是相同的固件。比如47PFL6158、55PFL8008以及84PFL9708等，雖然尺寸不同，但是固件版本都一樣。

不安全的無線訪問再加上JointSpace服務漏洞，可以允許外部程序遠程控制電視，甚至可以允許攻擊者直接提取電視機的配置文件、USB設備中的文件或存在于電視機瀏覽器中的Cookie、Gmail信息等。

“比如Opera瀏覽器的Cookie通常都會將所有的網站信息和電視應用程序保存在固定的一個文件夾中，擁有固定的路徑和名稱，因此這非常容易被人遠程下載?！毖芯咳藛T說。而這些Cookie可以讓或記者獲得用戶的網絡賬戶數(shù)據(jù)。而成功的幾率則取決于用戶訪問每個網站的附加安全措施。

根據(jù)來自位于柏林一家名叫Schobert信息安全咨詢公司在去年9月公開披露的JointSpace信息來看，他們認為漏洞或許并不像ReVulu公司聲稱的那樣只存在于飛利浦電視機的最新版本固件中。

但是，即使這個漏洞被修補好，通過Miracast方式接入無線網絡仍然很難讓我們擁有安全感，比如攻擊者依然可以通過外部應用程序或遠程控制電視機來控制視頻和音頻內容。

“我們已經意識到ReVulu機構提出的在2013年高端系列電視機中存在關于Miracast的安全問題，”飛利浦和冠捷科技組成的合資公司負責全球通信的主管Eva Heller在一份電子郵件中聲明。“我們的專家正在對此進行調查并積極修復?！?br />
消費者要做的，除了等待修復漏洞之外，還需要關掉電視機默認開啟的Wi-Fi Miracast功能。步驟是按下遙控其中的導航按鈕到設置界面，然后選擇網絡設置，找到Wi-Fi Miracast并且關閉即可。

時湉湉 · 發(fā)表于 2014-4-1 14:27

很給力，ZNDS有你更精彩！

阿里巴巴 · 發(fā)表于 2014-4-21 17:07

不得不回

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)

飛利浦2013款中高端智能電視被曝存安全漏洞 ...

飛利浦2013款中高端智能電視被曝存安全漏洞

相關帖子