美國網(wǎng)絡(luò)安全公司Tripwire 12月14日發(fā)布研究報告顯示,基于Android的電視機(jī)頂盒很可能運(yùn)行著過時的操作系統(tǒng),至少有一年未收到安全更新。
Tripwire的漏洞與暴露研究小組(VERT)購買了十臺基于Android的電視機(jī)頂盒進(jìn)行測試。這項實(shí)驗的帶頭研究人員克雷格-楊(Craig Young)通過電子郵件向外媒表示, 熱門Amazon US、Amazon UK和eBay“Android電視盒子”產(chǎn)品中就有幾款他們測試的機(jī)頂盒。
運(yùn)行過時操作系統(tǒng)的機(jī)頂盒不會收到更新Tripwire VERT小組表示,所有測試設(shè)備在運(yùn)行老舊和不安全的Android版本,本應(yīng)每月進(jìn)行安全更新的Android機(jī)頂盒,已經(jīng)快一年沒有收到安全更新。這些機(jī)頂盒更新必須由機(jī)頂盒廠商提供,無法由谷歌直接提供,這就如同大多數(shù)使用過時Android操作系統(tǒng)的手機(jī)用戶不能依靠移動運(yùn)營商提供更新和安全補(bǔ)丁一樣。
另一個重大的安全問題在于,所有這些設(shè)備默認(rèn)允許安裝來源不受信任的Android應(yīng)用程序。這意味著大多數(shù)基于Android的設(shè)備會因此易遭遇惡意軟件感染,尤其是智能手機(jī)。
機(jī)頂盒可執(zhí)行間諜活動研究人員指出,攻擊者能在幾個系統(tǒng)上通過網(wǎng)絡(luò)連接到機(jī)頂盒,無需實(shí)現(xiàn)授權(quán)便能完全控制系統(tǒng)。測試中,其中一臺機(jī)頂盒配備有集成攝像頭和麥克風(fēng),研究人員能借此竊聽附近用戶的對話。這種攻擊方式與“哭泣天使”(Weeping Angel)類似。
“哭泣天使”(Weeping Angel):2017年三月,維基解密曝光大量CIA黑客工具,其中包含代號為“哭泣天使”(Weeping Angel)的黑客工具,該工具以三星 F8000 智能電視為目標(biāo),制造出一種“假關(guān)機(jī)”模式讓用戶以為屏幕已經(jīng)被關(guān)掉,此時電視會隱秘地進(jìn)行錄音,并在電視重新打開之后通過 WiFi 將錄音內(nèi)容上傳給CIA 服務(wù)器。“哭泣天使”能將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具。
研究人員測試的大多數(shù)機(jī)頂盒屬于低端產(chǎn)品,有的甚至大肆宣傳能免費(fèi)獲取付費(fèi)版有線資源。研究人員楊建議消費(fèi)者購買品牌產(chǎn)品,切勿購買野雞品牌的產(chǎn)品,因為這些設(shè)備運(yùn)行Android系統(tǒng)易遭遇基于Android的勒索軟件攻擊。
用戶一旦遭遇機(jī)頂盒勒索攻擊,要解鎖的不是文件,更多的是解鎖設(shè)備本身的訪問權(quán)限。