飞利浦2013款中高端智能电视被曝存安全漏洞

2014-4-2 10:05:49来源:腾讯数码作者:
投稿打印收藏
分享到:

智能电视在许多消费者的客厅中扮演着重要角色,作为智能设备,安全性也非常重要。据报告显示,飞利浦智能电视新版本固件目前存在一个并不安全的Miracast无线网络漏洞,可以让潜在攻击者通过远程信号控制电视以及进行未经授权的操作。

来自Malta机构的研究人员在对ReVulu公司最近公布的一段演示视频分析后表示,攻击者可以通过飞利浦智能电视在连接到不安全的无线网络后发起攻击。这些潜在的攻击方式包括访问电视的配置文件、访问通过USB存储装置的文件、连接到电视、广播视频、音频和电视图像,甚至可以通过外部的电视遥控应用程序来从电视中的Cookie中窃取网站中用户的身份验证。通过Miracast打开不安全的网络后,用户在通过台式电脑、平板电脑、手机或其它设备中投射到电视屏幕上的图像就会被黑客窃取。

ReVulu安全机构的研究人员在上周五的邮件中表示,飞利浦智能电视最弱的固件系统在通过特定的DIRECT-xy和标识符接入到无线网络后,就有可能陷入成为攻击目标。

“所以基本上用户可以没有任何限制的直接将电视接入到无线网络中,”研究人员表示。“Miracast功能是默认启用并且无法更改密码的,我们曾经尝试所有可能的方法按照飞利浦电视使用手册中的建议来重置,但是电视依然允许任何人都可以进行连接。”

通常智能电视都不会采取任何额外的安全措施,比如为每一个无线客户端生成独特的密匙,在想要连接电视机之前进行手动授权等。

这个问题并不存在于所有飞利浦智能电视中,只是针对最新版本的固件才发现了这个漏洞。在一些卖场中运行旧版本固件的电视进行测试,并没有发现此次提到的漏洞。

研究人员测试的是飞利浦55英寸的55PFL6008S智能电视,但或许一些2013年款的型号也存在此类问题,因为这些电视使用的都是相同的固件。比如47PFL6158、55PFL8008以及84PFL9708等,虽然尺寸不同,但是固件版本都一样。

不安全的无线访问再加上JointSpace服务漏洞,可以允许外部程序远程控制电视,甚至可以允许攻击者直接提取电视机的配置文件、USB设备中的文件或存在于电视机浏览器中的Cookie、Gmail信息等。

“比如Opera浏览器的Cookie通常会将所有的网站信息和电视应用程序保存在固定的一个文件夹中,这些应用程序拥有固定的路径和名称,因此很容易被人远程下载。”研究人员说。而这些Cookie可以让或记者获得用户的网络账户数据。而成功的几率则取决于用户访问每个网站的附加安全措施。

根据来自位于柏林一家名叫Schobert信息安全咨询公司在去年9月公开披露的JointSpace信息来看,他们认为漏洞或许并不像ReVulu公司声称的那样只存在于飞利浦电视机的最新版本固件中。

但是,即使这个漏洞被修补好,通过Miracast方式接入无线网络仍然很难让我们拥有安全感,比如攻击者依然可以通过外部应用程序或远程控制电视机来控制视频和音频内容。

“我们已经意识到ReVulu机构提出的在2013年高端系列电视机中存在关于Miracast的安全问题,”飞利浦和冠捷科技组成的合资公司负责全球通信的主管EvaHeller在一份电子邮件中声明。“我们的专家正在对此进行调查并积极修复。”

消费者要做的,除了等待修复漏洞之外,还需要关掉电视机默认开启的Wi-FiMiracast功能。步骤是按下遥控其中的导航按钮到设置界面,然后选择网络设置,找到Wi-FiMiracast并且关闭即可。

(关键字:智能 电视)

(责任编辑:00997)