原创 是你在看电视,还是电视在看你?

2023-2-9 18:23 681 8 8 分类: 测试测量

智能家电使人们的生活娱乐更加便利,但你知道家中电视可能潜藏着风险吗?据新闻报导,2019年曾发生过黑客针对Google自制串流装置以及智能联网电视发动攻击,黑客利用了通用即插即用(UPnP)协议取得电视盒的主控权,并透过该协议取得网络中各项装置的使用权,用户的装置将被允许由远程黑客操作,相关机密数据报含:装置链接的Wi-Fi网络、连网时间、配对的蓝牙装置,甚至设定的闹钟等都可能曝露于公开网络,此举虽为黑客警示厂商产品有资安漏洞而非恶意攻击,但也让人陷入是否被监控的疑虑之中。

早在2016年,美国民众Darren Cauthon就遭遇自家智能电视遭Android恶意软件感染,被勒索要求支付500美金以解锁的案例,最后透过重设电视才得以解除危机。

(图片来源:@darrencauthon)

据美国FBI指出,相较手机、笔电等移动装置,电视制造商更容易忽略数字安全的重要性,因智能电视内建的摄影机、麦克风或是任何跟隐私相关的设定,都可能成为黑客攻击的目标。而不仅外接式的电视盒有风险,有线电视的智能系统也有被骇入的案例,2022年乌俄战争期间,就曾发生黑客入侵有线电视的智能系统,发布反战标语的事件。

(图截取自新闻画面)

百佳泰统整出民众在使用智能流式播放装置时常遇到的问题,建议厂商可以从三个主要问题层面,进行全面性的资安检测:

1.浏览盗版影音网站

据资安业者统计,台湾去年三级警戒期间盗版影音网站链接比例激增,这类网站中暗藏许多可疑的连接,可遵循在出厂前就执行物联网弱点检测。


2.下载来路不明未经验证的追剧程序

当心贪小便宜的心态正中黑客下怀!主打免费、无限看的APP程序因其无法追溯源头,很容易被植入黑客程序,不仅侵权触法也可能外泄信用卡的资料,遭有心人士利用,因此建议相关资安人员可透过第三方工具检测漏洞,排除可能性。


3.购买未经验证的电视机顶盒

如同前项所述,贪小便宜的后果往往得不偿失,白牌机顶盒无法追溯制造源头以及内建软件是否已暗藏恶意软件,此外机顶盒多以早期的Android4.0操作系统为主,普遍存在旧系统版本资安漏洞、无法实时更新并修补漏洞的问题,需透过以下四项目共16点功能检测是否有疑虑:

A.可用性

  1. 系统更新
  2. Wi-Fi及蓝牙模糊测试
  3. 安全性回报

B.身份识别

  1. 工程模式
  2. 缴费功能身份识别

C.隐私加密

  1. 登入保密功能
  2. 最小化通讯端口
  3. 数据传输
  4. 敏感数据存取
  5. 数据记录删除
  6. 数据储存保护

D.安全功能

  1. 操作系统常见漏洞
  2. 实体端口安全
  3. 敏感数据储存
  4. Wi-Fi网络热点
  5. 内建软件安全

经过以上一系列的检测后,可避免绝大多数消费者在输入个资或安装软件后,装置被植入恶意软件,遭软件绑架或者取得装置的使用权,造成用户数据隐私公诸于网络世界的危机。

作者: 百佳泰测试实验室, 来源:面包板社区

链接: https://mbb.eet-china.com/blog/uid-me-400317.html

版权声明:本文为博主原创,未经本人允许,禁止转载!

文章评论0条评论)

登录后参与讨论
我要评论
0
8
关闭 站长推荐上一条 /2 下一条