腾讯安全移动安全实验室揭秘智能电视漏洞攻击

手机被黑了,可能你的照片、文档等隐私信息都会被泄露,可你以为电视就不会了吗?事实上,智能电视被黑的潜在危险远比你想象中的大!在近日举办的FiT 2019互联网安全创新大会白帽Live中,腾讯安全移动安全实验室带来《智能家居安全——“策反”你的智能电视》议题分享,并现场演示了通过入侵智能电视,任意播放视频、开启智能台灯的“惊吓”一幕。

腾讯安全移动安全实验室的安全研究员韩紫东为大家揭晓了Live攻击场景背后的原理:利用针对智能电视DLNA协议以及扩展功能进行远程下载、安装并执行在云端配置好的木马应用程序,黑掉智能电视后,就可以利用被“策反”的电视向家庭中其他设备发起攻击,最终达到长期控制智能家居设备的效果。

智能电视存在多重安全漏洞 极易成为攻击者的“帮凶”

据腾讯安全移动安全实验室介绍,DLNA是IoT互联基础协议框架和接口标准,几乎被市面上绝大多数的智能电视厂商设备支持,并在协议框架中进行功能拓展,添加自定义服务,许多安装于电视、盒子等智能设备之上的第三方应用也会默认开启DLNA服务,丰富其功能。而不法黑客正是利用此类漏洞可以做到浏览IoT设备文件资源,非法调用智能设备服务,播放任意多媒体资源,远程安装执行木马应用完全控制智能电视等IoT设备。

腾讯安全移动安全实验室揭秘智能电视漏洞攻击

  (腾讯安全移动安全实验室披露利用智能电视攻击思路)

Live中演示中“中招”的智能电视并非个例。据腾讯安全移动安全实验室研究发现,市面上多家主流品牌智能电视存在类似的安全隐患:一方面在对DLNA的基础协议上没有进行身份认证,导致攻击者可以穿透内网控制电视多媒体播放内容;另一方面,手机端相应的电视远控APP存在漏洞,攻击者可以通过对App进行破解或漏洞利用,伪造通信协议,向电视发起远程植入木马后门的指令,达到长期控制电视的目的,甚至还可以利用电视,对受害者进行录音或者植入挖矿程序获利。

智能家居设备互联潜藏隐患 IoT设备风险或将扩大化

作为腾讯安全七大联合实验室矩阵之一,腾讯安全移动安全实验室长期专注于移动安全与IoT安全、设备安全等方面的研究。基于在移动平台攻击经验的积累和对智能家居安全的深入研究,腾讯安全移动安全实验室发现,通过智能电视,智能路由器以及智能音箱等高级智能家居设备等“跳板”,攻击者能够轻易实现对目标智能家居的长期有效控制。

从整个智能家居安全体系来看,腾讯安全移动安全实验室将智能家居风险分为攻击来源、攻击扩散和攻击接收三个层级,其中智能电视等“更智能”的高级智能家居设备间尤其存在潜藏的隐患,利用这些智能设备的多功能以及多联通性,家庭IoT的风险或将进一步扩大化,并导致受害者智能家居被长期控制的风险。

腾讯安全移动安全实验室揭秘智能电视漏洞攻击

  (腾讯安全移动安全实验室智能家居安全体系化思考)

据介绍,智能电视、智能路由器、智能音箱等高级智能家居设备,一方面本身的功能丰富,导致被攻击后产生危害较大,例如劫持音箱和电视窃听用户隐私,攻击路由器劫持流量;另一方面这些设备在家中与其他设备或用户交互频繁的场景更多,一旦受到攻击利用,极可能形成长期持久化的安全威胁。

移动端、云端、设备端安全覆盖 全方位守护IoT安全

基于智能家居安全涉及多重流程和复杂的生态,腾讯安全移动安全实验室从风险审计、安全加固、数据防护等方面提供一套完整的体系化安全解决方案,实现移动端、设备端、云端对IoT安全的全面安全防护,保障数据安全、代码安全以及可信身份认证下的通信安全,且适用于智能家居、智慧零售、智能安防等多种IoT场景,为广大企业和家庭用户的IoT设备安全保驾护航。

具体而言,在智能设备管控APP端,腾讯安全移动安全实验室提供App安全审计,定制分析IoT威胁的攻击入口;并通过开展App安全加固,保护业务控制代码不被攻击者轻易获取。在IoT设备场景上,根据不同的IoT设备落地场景,审计分析IoT固件安全风险,提供完整的安全解决报告与应急响应服务支撑;安全加固通过安全应用开发套件,配合IoT开发阶段的安全集成以及测试上线阶段的安全测评响应,保护IoT设备在智能化场景下的设备安全性及数据可靠性。在业务通信侧,提供物联网设备唯一性安全服务,给IoT设备在智能家居等场景中的身份识别提供基础技术支撑,增强业务通信过程中安全性和可靠性,保护设备在与业务服务器通信中的可信场景,防止设备被篡改伪造后造成的不安全通信下造成的数据泄露等风险。

此外,腾讯安全移动安全实验室提醒广大智能家居、安防等IoT设备厂商和提供DLNA服务应用开发者,尤其是在公共场合使用的互联网电视产品厂家,需格外重视近距离攻击威胁和近场的安全防护,严格过滤DLNA服务请求,验证敏感操作请求来源,以防范此类恶意利用给用户带来潜在的社会风险和损失。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-12-28
腾讯安全移动安全实验室揭秘智能电视漏洞攻击
手机被黑了,可能你的照片、文档等隐私信息都会被泄露,可你以为电视就不会了吗?事实上,智能电视被黑的潜在危险远比你想象中的大!在近日举办的FiT 2019互联网安

长按扫码 阅读全文