智能電視安全防御水平遠(yuǎn)落后于手機(jī)和PC
據(jù)Computerworld網(wǎng)站報(bào)道,智能電視將成為網(wǎng)絡(luò)犯罪分子新的攻擊目標(biāo),因?yàn)槠浒踩烙竭h(yuǎn)遠(yuǎn)落后于智能手機(jī)和桌面計(jì)算機(jī)。
本文引用地址:http://m.butianyuan.cn/article/285136.htm由于廠商更重視用戶(hù)使用的方便性而非安全,運(yùn)行Android等移動(dòng)操作系統(tǒng)的智能電視成為容易受到攻擊的目標(biāo),廠商的這一取舍可能帶來(lái)嚴(yán)重后果。
Computerworld表示,由于經(jīng)常被應(yīng)用在企業(yè)會(huì)議室,智能電視不僅僅是一款消費(fèi)設(shè)備。據(jù)市場(chǎng)研究公司Research and Markets預(yù)測(cè),在2019年底前,智能電視銷(xiāo)量每年將增長(zhǎng)逾20%。
安全專(zhuān)家稱(chēng),盡管針對(duì)智能電視的攻擊尚未大規(guī)模爆發(fā),但網(wǎng)絡(luò)犯罪分子注意到其軟肋只是個(gè)時(shí)間問(wèn)題。
Tolaga Research首席研究官菲爾馬歇爾(Phil Marshall)表示,“許多解決方案甚至沒(méi)有采用在IT界已知的最佳安全措施。智能電視生態(tài)鏈四分五裂,廠商重視的是迅速在市場(chǎng)上推出解決方案?!?/p>
智能電視從本質(zhì)上說(shuō)就是計(jì)算機(jī),USB接口、操作系統(tǒng)和網(wǎng)絡(luò)功能與智能手機(jī)沒(méi)有區(qū)別。但與計(jì)算機(jī)和移動(dòng)設(shè)備不同的是,智能電視通常不要求對(duì)用戶(hù)身份進(jìn)行任何認(rèn)證。
網(wǎng)絡(luò)安全廠商Tripwire計(jì)算機(jī)安全研究人員克萊格?揚(yáng)(Craig Young)表示,“基本上,只要人與智能電視在同一個(gè)房間,就會(huì)被認(rèn)為是電視的所有者?!笨巳R格揚(yáng)一直在研究智能電視的安全問(wèn)題。
克萊格?揚(yáng)還表示,部分型號(hào)智能電視不能確認(rèn)通過(guò)網(wǎng)絡(luò)發(fā)送命令的人,就是能實(shí)際控制電視的人。
這意味著黑客可能控制智能電視在會(huì)議期間顯示不符合用戶(hù)預(yù)期的內(nèi)容??巳R格?揚(yáng)說(shuō),“如果參會(huì)人員正在利用智能電視進(jìn)行演示,這會(huì)導(dǎo)致出現(xiàn)尷尬情況或一些意想不到的情況。”
包括三星、LG和索尼在內(nèi)的多家主流智能電視廠商都推出了智能電視應(yīng)用商店,但用戶(hù)完全可能被誘騙通過(guò)第三方應(yīng)用商店下載惡意應(yīng)用,用來(lái)攻擊智能手機(jī)的方法也可以用來(lái)攻擊智能電視。
安全廠商賽門(mén)鐵克安全威脅研究人員坎迪德烏衣斯特(Candid Wueest)故意讓其全新的Android電視感染了勒索件。勒索件是一種惡意軟件,對(duì)用戶(hù)文件加密,脅迫用戶(hù)支付贖金。
烏衣斯特的試驗(yàn)帶有“作弊”嫌疑:他修改了路由器的DNS(域名系統(tǒng))設(shè)置,模擬了中間人攻擊,讓電視從一個(gè)不可靠的來(lái)源下載勒索件。
Computerworld稱(chēng),烏衣斯特還提到智能電視與軟件更新有關(guān)的許多其他問(wèn)題。當(dāng)下載更新包時(shí),部分型號(hào)智能電視不使用被稱(chēng)作SSL/TLS的安全協(xié)議。
這可能讓網(wǎng)絡(luò)犯罪分子誘騙電視下載惡意固件。部分型號(hào)智能電視甚至不驗(yàn)證下載固件的完整性。烏衣斯特在接受電話采訪時(shí)說(shuō),“智能電視的安全性“讓人不敢恭維”。
所有這些小問(wèn)題會(huì)釀成讓人煩惱的大問(wèn)題,尤其是在智能電視與商務(wù)活動(dòng)日趨融合、人們?cè)絹?lái)越多地在電視上輸入支付卡信息的情況下。
移動(dòng)設(shè)備安全廠商0xID聯(lián)合創(chuàng)始人斯科特吳(Scott Wu)說(shuō),“我妻子喜歡黑色星期五在電視上購(gòu)物。用戶(hù)會(huì)把財(cái)務(wù)信息與電視捆綁在一起?!?/p>
克萊格揚(yáng)表示,盡管能抵擋網(wǎng)絡(luò)攻擊,反病毒軟件也會(huì)降低系統(tǒng)性能,問(wèn)題變成“在電視上運(yùn)行安全軟件是否意味著Netflix會(huì)卡頓,這將影響智能電視安全解決方案的普及”。
斯科特吳表示,至少Android的授權(quán)模式,能限制在沒(méi)有獲得用戶(hù)明確批準(zhǔn)的情況下應(yīng)用的功能,從而限制了惡意應(yīng)用在智能電視上興風(fēng)作浪的能力。但用戶(hù)可能愚蠢地?zé)o視警告信息,繼續(xù)觀看電視節(jié)目。
克萊格揚(yáng)指出,與智能電視有關(guān)的問(wèn)題同樣會(huì)影響大量所謂的物聯(lián)網(wǎng)設(shè)備,專(zhuān)家擔(dān)心物聯(lián)網(wǎng)設(shè)備會(huì)受到攻擊。
Computerworld指出,部分公司利用能夠監(jiān)測(cè)網(wǎng)絡(luò)上異常現(xiàn)象的新產(chǎn)品而非反病毒軟件解決這一擔(dān)憂。例如,F(xiàn)-Secure的Sense和Dojo-Labs的產(chǎn)品,能監(jiān)測(cè)家庭網(wǎng)絡(luò)上許多設(shè)備的流量,從中發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的蛛絲馬跡??巳R格?揚(yáng)說(shuō),“很顯然的是,業(yè)內(nèi)人士在考慮這一問(wèn)題。”
評(píng)論