当前位置:科技 > 业界 > 业界动态 > 业界动态国内新闻 > 正文

安全科普:智能电视是如何被黑客攻击的

2014-07-11 17:27:15  赛迪网    参与评论()人

    近日,有网友爆料奇葩技术宅为求爱,黑掉爱慕对象的电视,上演惊悚电视求爱画面。此事一经曝出,立即引来网友强势围观,很多人担心自家电视被黑客攻击后隐私不保,热议家庭网络安全问题。对此,360无线安全专家Bincker撰文分析称,智能电视被黑只是表面现象,问题根源在WiFi被入侵,推荐网友使用360路由器助手保护WiFi和智能电视等上网设备安全。

安全科普:智能电视是如何被黑客攻击的

    Bincker在知乎上详细阐述了智能电视被攻击的四种可能性,并指出了市面上Android TV存在的诸多安全问题,原帖撰文如下:

    简单说下智能电视(包括电视盒子)的安全问题:目前市面上智能电视大多是androidTV,由于Android原生代码中并没有开启身份认证和登录功能,厂商也对智能电视源代码没进行修改添加身份认证功能,而且通过最高权限的root用户的模式下工作,这就导致市面上的android TV很容易被黑客攻击。

    针对智能电视的黑客攻击方法大致可以分为四种:

    攻击方法一、WiFi网络攻击

    智能电视要在足够带宽的WiFi环境工作,WiFi是智能电视第一道安全关卡。如果WiFi被破解,那么包括智能电视、手机、Pad、PC等所有设备都危险了。

    攻击者通过无线网络破解工具破解WiFi密码连接到内部网络,然后扫描局域网端口,如有开放5555端口(android默认远程调试端口)为android tv 出厂设置远程调试端口,通过该端口进行对智能电视的系统进行安装,卸载,修改应用。

    通过局域网远程端口进行连接到智能电视,并安装恶意软件或其它操作:

    (1) adb connect 192.168.0.111:5555

    (2) adb push su /system/xbin pm set-install-location 0 (su工具通过root权限运行后可以进行静默安装,在屏幕上无显示界面)

    (3) adb install superuser.apk (超级用户授权工具)

    (4) adb install busybox.apk (系统命令执行工具箱)

    (5) adb install AndroRat.apk(android远程控制木马)

    (6) 通过服务端进行控制

    通过WiFi网络攻击,攻击者可以对智能电视进行任意操作,如更换频道,恶意弹窗,安装恶意软件,关闭智能电视,甚至对智能电视固件进行升级导致电视机变成板砖的可能。

    从问题截图来看,对方(邻居?)应该是先破解了你同学WiFi的密码,然后就可以随意控制电视显示内容了。并没有多高的技术含量。你同学要做的是尽快改一个复杂的WiFi密码,并且把WPS/QSS功能关闭。

    攻击方法二、内网欺骗攻击

    该攻击方法与其他PC攻击方法大同小异,通过内部网络的DNS攻击,ARP欺骗,对智能电视播放的APK进行二次打包覆盖安装,对厂商开机广告投放进行篡改,一般广告投放时通过网页调用一个远程服务器的JS代码,通过劫持或者缓存投毒方式对JS代码进行相应的修改。

    攻击方法三、智能电视应用远程服务器受攻击导致展示广告被修改、付费栏目免费使用、及企业网络进行渗透。

    这也属于传统的攻击方法之一,对远程服务器进行扫描发现漏洞后通过利用相应漏洞控制服务器,一般远程服务器上有多个web应用提供服务,android智能电视载入web页面时候使用了android原生浏览器webview组件才能载入页面,这个组件存在很多代码注入,远程代码执行等问题,所以攻击者对载入的页面中嵌入精心构造的恶意脚本会在智能电视载入应用的网页时候恶意代码执行,导致android远控木马(androrat)会在智能电视机系统里root超级用户模式神不知鬼不觉的静默安装。

    一些应用程序使用了android webkit模块实现远程网页载入的功能,所以存在和传统WEB应用一样的漏洞,远程代码执行,SQL注入攻击,此外还有一些其它的跨站脚本,上传文件,本地或远程包含漏洞。也一般付费用户的在后台上进行添加删除操作,攻击了远程服务器那就通过数据库轻松修改免费用户改成VIP用户都不是问题。

    除了这方面还有对android系统原生浏览器的漏洞导致致命的远程代码执行漏洞会感染整个智能电视,智能电视在感染后对整个局域网进行跳板攻击,这时传统杀毒软件无法在智能电视上工作,任由病毒发作。

    如果智能电视工作在企业内网,那将是个非常大的安全隐患。受感染的智能电视可以通过NC(黑客瑞士军刀)转发内网的端口到远程服务器上,实现了外网渗透企业用于广告宣传或者投放的电视机中,长时间在企业内部网络漫游,从而达到进一步攻击的目的。这已经不是假设性的攻击思路,而是可以在真实环境中危害到企业安全的一个致命威胁。

    四、其他攻击方法

    智能电视可以外接很多附件产品,如摄像头(mic、录制)的控制,还有大部分智能电视支持USB接口,通过感染USB写入autorun等携带式设备自动播放功能从而进行跳板攻击其它windows主机等可能,虽然是小概率事件但也不能排除完全不会发生。

    除了这些功能外,智能电视的rom制作过程中也可能被插入木马后门,类似一些山寨android智能手机预置了oldboot木马的情况。智能手机发生过的安全问题,都可能会在智能电视上重现。

(责任编辑:CT009)
关键词:智能电视
 

社会文史娱乐汽车科技旅游城市文化

新闻 军事 论坛 娱乐

新闻频道
国内国际社会评论文史专题经济新闻图库老照片
军事频道
军事要闻中国军情国际军情军事历史网友原创军事专题军事图库武器装备军事文化
汽车频道
车闻Update漫话车型漫记车映像实拍解析行业动态新车资讯独家评测汽车生活人文之旅
教育频道
留学移民高考中小学拒讲堂师说商道商论
游戏频道
游点意思网络游戏网页游戏单机游戏手机游戏军事游戏游戏产业发号中心游戏美女图说游戏囧游囧事
科技频道
业界互联网行业通信数码手机平板IT硬件相机笔记本家电产品库
旅游频道
X旅行视界目的地 美图发现社区
文化频道
专题非遗沙龙历史艺文博览读书图库书画禅文化
书画频道
资讯收藏展览在线展厅艺术家视觉专题
体育频道
国际足球中国足球NBACBA 综合体育图片汇总专题策划
视频频道
新闻军事中华出品原创娱乐纪录片微电影决胜海陆空
娱乐频道
明星电影电视音乐专题图库论坛
公益频道
老兵出镜老兵动态老兵资料库关爱老兵在行动公益组织公益人物
城市频道
城市聚焦城市设计城市生活城市策划城 市图赏城市加盟城市论坛
社区频道
中华论坛网上谈兵中华拍客社会时政国际风云生活消费休闲旅游美丽女人娱乐八卦经济风云情感世界文学天地
好医生频道
保健养生疾病防治行业资讯名医谈健康 医生专栏食疗跑步
经济频道
国内宏观海外经济产经商贸时尚消费电商眼球儿企业故事专栏评说识局经济