forum.opennet.ru

Составление сообщения

Исходное сообщение

"Продемонстрирована атака на Smart TV через подмену сигнала ц..."
Отправлено opennews, 31-Мрт-17 10:32

Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал (https://www.oneconsult.com/de/smart-tv-hacking/) практическую возможность совершения атаки на умные телевизоры, позволяющей получить полный контроль за устройством через подстановку команд HbbTV (https://ru.wikipedia.org/wiki/HbbTV) при обработке потоков DVB-T (https://ru.wikipedia.org/wiki/DVB-T) (Digital Video Broadcasting — Terrestrial), позволяющих инициировать обработку произвольных web-страниц в поставляемом на Smart TV браузере.
Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, применяемых на умных телевизорах. В использемом для демонстрации телевизоре Samsung движок HbbTV был основан на устаревшей версии WebKit, поэтому в ходе эксперимента проблем с поиском уязвимостей не возникло. По данным исследователя около 90% всех умных телевизоров потенциально подвержены подобным атакам.

Для выполнения кода на телевизоре достаточно, добиться обработки на устройстве специально оформленного потока DVB-T. Атакующий может взломать инфраструктуру вещательной компании, завлечь пользователя на специально подготовленный подставной канал или просто подменить сигнал цифрового телевидения при помощи портативного передатчика. Например, в ходе доклада продемонстрирована возможность использования квадрокоптера с закреплённым передатчиком DVB-T, который может подлететь к антенне телевизора и осуществить подмену определённых каналов.

Кроме DVB-T, потенциально могут быть атакованы и системы, работающие по протоколам DVB-C (https://ru.wikipedia.org/wiki/DVB-C) (Digital Video Broadcasting - Cable) и IPTV, с которыми также можно использовать расширения гибридного телевидения HbbTV. Примечательно, что предупреждения о возможности проведения атак через подстановку команд HbbTV высказывались и ранее, но координирующий развитие HbbTV консорциум проигнорировал их в виде отсутствия работающих эксплоитов. В качестве одной из мер для усложнения атак предлагается ввести проверку контента по цифровой подписи.

С практической стороны атаки на умные телевизоры могут применяться для включения устройств в ботнет сети для совершения DDoS-атак, для того чтобы шпионить за пользователями (например, можно передавать данные со встроенного микрофона и web-камеры), для продолжения атаки на внутреннюю сеть, для подстановки своей рекламы и т.п. Примечательно, что у пользователя практически лишены возможности восстановления телевизора после взлома, так как после успешной атаки злоумышленник может блокировать установку обновлений или существенно усложнить удаление установленного бэкдора. Совершению же атаки способствует достаточно большие сроки доставки обновлений у всех основных производителей Smart TV, что позволяет использовать уже известные уязвимости в WebKit.
URL: https://www.bleepingcomputer.com/news/security/about-90-perc.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46287

Исходное сообщение
"Продемонстрирована атака на Smart TV через подмену сигнала ц..." Отправлено opennews, 31-Мрт-17 10:32
Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал (https://www.oneconsult.com/de/smart-tv-hacking/) практическую возможность совершения атаки на умные телевизоры, позволяющей получить полный контроль за устройством через подстановку команд HbbTV (https://ru.wikipedia.org/wiki/HbbTV) при обработке потоков DVB-T (https://ru.wikipedia.org/wiki/DVB-T) (Digital Video Broadcasting — Terrestrial), позволяющих инициировать обработку произвольных web-страниц в поставляемом на Smart TV браузере. Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, применяемых на умных телевизорах. В использемом для демонстрации телевизоре Samsung движок HbbTV был основан на устаревшей версии WebKit, поэтому в ходе эксперимента проблем с поиском уязвимостей не возникло. По данным исследователя около 90% всех умных телевизоров потенциально подвержены подобным атакам. Для выполнения кода на телевизоре достаточно, добиться обработки на устройстве специально оформленного потока DVB-T. Атакующий может взломать инфраструктуру вещательной компании, завлечь пользователя на специально подготовленный подставной канал или просто подменить сигнал цифрового телевидения при помощи портативного передатчика. Например, в ходе доклада продемонстрирована возможность использования квадрокоптера с закреплённым передатчиком DVB-T, который может подлететь к антенне телевизора и осуществить подмену определённых каналов. Кроме DVB-T, потенциально могут быть атакованы и системы, работающие по протоколам DVB-C (https://ru.wikipedia.org/wiki/DVB-C) (Digital Video Broadcasting - Cable) и IPTV, с которыми также можно использовать расширения гибридного телевидения HbbTV. Примечательно, что предупреждения о возможности проведения атак через подстановку команд HbbTV высказывались и ранее, но координирующий развитие HbbTV консорциум проигнорировал их в виде отсутствия работающих эксплоитов. В качестве одной из мер для усложнения атак предлагается ввести проверку контента по цифровой подписи. С практической стороны атаки на умные телевизоры могут применяться для включения устройств в ботнет сети для совершения DDoS-атак, для того чтобы шпионить за пользователями (например, можно передавать данные со встроенного микрофона и web-камеры), для продолжения атаки на внутреннюю сеть, для подстановки своей рекламы и т.п. Примечательно, что у пользователя практически лишены возможности восстановления телевизора после взлома, так как после успешной атаки злоумышленник может блокировать установку обновлений или существенно усложнить удаление установленного бэкдора. Совершению же атаки способствует достаточно большие сроки доставки обновлений у всех основных производителей Smart TV, что позволяет использовать уже известные уязвимости в WebKit. URL: https://www.bleepingcomputer.com/news/security/about-90-perc.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=46287

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал 
> (https://www.oneconsult.com/de/smart-tv-hacking/) практическую возможность совершения 
> атаки на умные телевизоры, позволяющей получить полный контроль за устройством через 
> подстановку команд HbbTV (https://ru.wikipedia.org/wiki/HbbTV) при обработке потоков 
> DVB-T (https://ru.wikipedia.org/wiki/DVB-T) (Digital Video Broadcasting — Terrestrial), 
> позволяющих инициировать обработку произвольных web-страниц в поставляемом на Smart TV 
>  браузере.

> Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, 
> применяемых на умных телевизорах. В использемом для демонстрации телевизоре Samsung движок 
> HbbTV был основан на устаревшей версии WebKit, поэтому в ходе эксперимента 
> проблем с поиском уязвимостей не возникло. По данным исследователя около 90% 
> всех умных телевизоров потенциально подвержены подобным атакам.

> Для выполнения кода на телевизоре достаточно, добиться обработки на устройстве специально 
> оформленного потока DVB-T. Атакующий может взломать инфраструктуру вещательной компании, 
> завлечь пользователя на специально подготовленный подставной канал или просто подменить 
> сигнал цифрового телевидения при помощи портативного передатчика. Например, в ходе доклада 
> продемонстрирована возможность использования квадрокоптера с закреплённым передатчиком 
> DVB-T, который может подлететь к антенне телевизора и осуществить подмену определённых 
> каналов.

> Кроме DVB-T, потенциально могут быть атакованы и системы, работающие по протоколам DVB-C 
> (https://ru.wikipedia.org/wiki/DVB-C) (Digital Video Broadcasting - Cable) и IPTV, с 
> которыми также можно использовать расширения гибридного телевидения HbbTV. Примечательно, 
> что предупреждения о возможности проведения атак через подстановку команд HbbTV высказывались 
> и ранее, но координирующий развитие HbbTV консорциум проигнорировал их в виде 
> отсутствия  работающих эксплоитов. В качестве одной из мер для усложнения 
>  атак предлагается ввести проверку контента по цифровой подписи.

> С практической стороны атаки на умные телевизоры могут применяться для включения устройств 
> в ботнет сети для совершения DDoS-атак, для того чтобы шпионить за 
> пользователями (например, можно передавать данные со встроенного микрофона и web-камеры), 
> для продолжения атаки на внутреннюю сеть, для подстановки своей рекламы и 
> т.п. Примечательно, что у пользователя практически лишены возможности восстановления 
> телевизора после взлома, так как после успешной атаки злоумышленник может блокировать 
> установку обновлений или существенно усложнить удаление установленного бэкдора. Совершению 
> же атаки способствует достаточно большие сроки доставки обновлений у всех основных 
> производителей Smart TV, что позволяет использовать уже известные уязвимости в WebKit.

> URL: https://www.bleepingcomputer.com/news/security/about-90-percent-of-smart-tvs-vulnerable-to-remote-hacking-via-rogue-tv-signals/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46287

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру