90% smart televizora može biti hakovano sa daljine, a da korisnici to i ne primete
Vesti, 05.04.2017, 19:55 PM
Broj uređaja povezanih sa internetom eksponencijalno raste, a sa tim raste i opasnost od njih.
Većina IoT uređaja, uključujući smart televizore, frižidere, mirkotalasne pećnice, sigurnosne kamere i štampače, česta su meta hakera koji ih koriste kao oružje u sajber napadima.
Raste i broj bot mreža sastavljenih od IoT uređaja. Jedna od njih, trenutno verovatno najveća IoT bot mreža, je bot mreža Mirai koja se pojavila krajem prošle godine kada je postala poznata posle DDoS napada na DynDNS servis. Problemi do kojih je tada doveo Mirai pokazali su koliko je lako hakovati IoT uređaje.
Bezbednosni istraživač Rafael Šil, koji radi za švajcarsku firmu Oneconsult, upozorio je prošle nedelje na još jednu IoT pretnju - smart televizore nad kojima hakeri mogu preuzeti potpunu kontrolu i to čak i ako nemaju fizički pristup ovim uređajima.
Zbog brojnih ograničenja u do sada viđenim napadima na smart televizore, Šil ih nije smatrao istinski opasnim, te je zato odlučio da osmisli svoj napad. Njegov napad može biti izveden sa daljine, bez interakcije korisnika, a funkcioniše tako da korisnik ne primeti da mu je televizor hakovan.
On je razvio napad u kome je koristio jeftini DVB-T predajnik sa opremom koja se može kupiti za 50 - 150 dolara, i emitovao DVB-T (Digital Video Broadcasting - Terrestrial) signal. Lažnim TV signalima mogu se isporučivati maliciozne komande.
Svaki obližni televizor će se povezati na jači signal. Lažni DVB-T signali koji se emituju ka obližnjim uređajima, mogu omogućiti napadačima da dobiju root pristup na smart televizorima, i da ih koriste na način na koji to žele - od pokretanja DDoS napada do špijuniranja korisnika.
Šil je demonstrirao napad tokom prezentacije na seminaru Evropske radiodifuzne unije gde je izneo tvrdnju da je oko 90% smart televizora koji su prodati prošle godine podložno sličnim napadima.
Napad koristi dve ranjivosti u web browserima koji rade u pozadini. Kada ih kompromituju, napadači se mogu sa daljine povezati sa televizorom preko interneta koristeći interfejs koji im omogućava da preuzmu potpunu kontrolu nad uređajem.
Kada je kompromitovan, televizor može biti inficiran tako da niti restartovanje uređaja, niti fabričko resetovanje ne može ne bi pomoglo žrtvi da se otarasi infekcije.
Šilov napad je jedinstven i opasniji od svih napada na smart televizora koje smo videli do sad.
Ranije viđeni napadi su zahtevali fizički pristup ciljanom uređaju (da bi napadač mogao da uključi USB sa koga će biti pokrenut maliciozni kod) ili društveni inženjering, što znači da hakeri moraju da prevare korisnike smart televizora da instaliraju malicioznu aplikaciju na televizoru. To hakere izlaže riziku da budu uhvaćeni, ali i ograničava broj uređaja koji mogu biti hakovani.
I CIA nije odmakla daleko kada je reč o hakovanju smart televizora. Američka obaveštajna agencija koristi alat "Weeping Angel" kojim je moguće preuzeti kontrolu nad Samsung smart televizorima i pretvoriti ih u uređaje koji špijuniraju korisnike. Uprkos značajnim ljudskim i finansijskim resursima kojima raspolaže CIA, njen alat za hakovanje smart televizora zahteva fizički pristup kako bi se instalirao Weeping Angel, što znači da on ne može biti korišćen za masovne napade, već samo za hakovanje jednog po jednog uređaja, u pažljivo planiranim operacijama.
Šilov exploit eliminiše uslov da hakeri imaju fizičku kontrolu nad uređajem, i može da funkcioniše protiv velikog broja uređaja odjednom.
Izdvojeno
Hakeri zloupotrebljavaju Google kalendar za prevare i krađu lozinki i informacija o kreditnim karticama
Hakeri zloupotrebljavaju funkcije Google kalendara za slanje phishing imejlova maskiranih u legitimne pozivnice, upozorila je kompanija za sajber bezb... Dalje
Pobeda WhatsApp-a: Sud presudio da je proizvođač špijunskog softvera Pegaz odgovoran za hakovanje 1400 korisnika WhatsApp-a
WhatsApp je dobio spor protiv izraelskog prodavca komercijalnog špijunskog softvera NSO Group pošto je savezni sudija u američkoj državi Kaliforni... Dalje
Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja
Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje
Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara
Interpol je pozvao zajednicu sajber bezbednosti, organe za sprovođenje zakona i medije da prestanu da koriste termin „pig butchering“ (sv... Dalje
Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma
Istraživači Guardio Labsa i Infobloxa otkrili su kampanju velikih razmera koja distribuira malver Lumma preko lažnih captcha stranica. Napadači is... Dalje
Pratite nas
Nagrade