知道吗?智能电视正面临6大攻击威胁
2014-08-20 08:53:09来源:DVBCN数字电视中文网 作者:DVBCN编辑部热度:
智能电视是一种可以和互联网交互的电视产品,电视越智能,其提供的相关的网络服务越多,它就越容易受到网络攻击。
首先,智能电视并未提供给用户命令接口,这使得确定网络攻击变得十分困难。其次,目前针对智能电视的专用的反杀毒还很少,甚至基于Linux 的智能电视系统还没有任何的防杀毒软件出现,因此对智能电视的常见的攻击方式进行分析显得更为重要。
1)固件攻击
固件是电子设备的核心组件,负责控制和协调集成电路的功能。对于智能电视,固件用来管理电视硬件资源并为智能电视提供公共服务程序。
固件同样不提供任何界面形式的访问接口给用户,这看起来很安全,然而,如果恶意修改固件,并试图获取root访问权限,则可能获取整个电视的访问权限。
目前各大厂商多采用USB接口升级固件,而固件程序大多可从互联网上自由获取到,黑客可根据下载到的固件破解,并定制其自定义的程序到固件中达到其不法目的。
2)浏览器攻击
浏览器是智能电视系统中的基础应用程序,通过浏览器可实现用户和互联网之间的交互。各个厂商目前大都将浏览器进行了定制,支持基础的Java 扩展、Flash、cookie管理和SSL/TLS协议。
SSL技术为Netscape 所研发,是一种在客户端和服务器端之间建立安全通道的协议。SSL 广泛应用于网上银行、网上支付、电子商务等重要网络服务中,基于智能电视浏览器的中间人攻击是一种黑客可能采用的攻击方式,智能电视浏览器建立连接到一个支持HTTPS的网站,而攻击者在电视的浏览器和服务器之间对电视浏览器和服务器之间的通信进行窃听和篡改,以获取用户的网络活动,包括账户、密码等敏感信息,这是被动攻击中很难被发现的。
具体可能采用DNS欺骗和ARP欺骗将双方的会话通信流暗中改变,而这种改变对于会话双方来说是完全透明的,DNS欺骗中,智能电视浏览器将DNS请求发送到攻击者,然后攻击者伪造DNS响应,将正确的IP地址替换为其他IP,智能电视浏览器就登录了这个攻击者指定的IP,而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站,从而骗取用户输入他们想得到的信息,如银行账号及密码等,这可以看作一种网络钓鱼攻击的一种方式。
3)应用程序攻击
各个智能电视厂商都各自建立了应用商店,用户可选择安装、更新或卸载应用程序,而这些应用程序是否存在系统中的特权?外部使用者是否可能在智能电视中创建和安装一个非法程序?具体到某个智能电视厂商比如三星,其开发的智能电视应用程序基于其自身的SDK,都支持Javascript,HTML,Flash。在Javascrpt中,有很多API可提供I/O、视频、音频、相机和打开、关闭、删除、创建等权限,并存放在某个共享目录下,而这些显然都是root用户才能获取的权限,由于三星允许这种方式的文件访问,攻击者可以自己创建其他有害的应用程序,并可能影响系统中的其他应用。
黑客可以使用上述方式开发出应用程序,供用户远程登录到智能电视上,并可以开发者模式,配置和修改智能电视。
4)远程帮助服务攻击
很多智能电视厂商都开发出了特定的远程管理服务,用来帮助用户解决所出现的各类故障,用户只有手动选择选单,表示同意电视服务维护人员的远程协助,才能开启这个功能;首先智能电视会生成一个随机码发送给三星的维护工程师,这个随机码是用来区分不同的请求帮助的用户,而截获上述通信过程可以使得黑客获取更高的访问智能电视的权限,从而达到控制智能电视的目的。
5)利用DLNA 技术攻击
DLNA技术是由索尼、因特尔、微软等发起成立、旨在解决个人PC、智能电视、移动设备在内的无线网络和有线网络的互联互通,使得数字媒体和内容服务的无限制的共享和增长成为可能,其包括从上到下五个功能组件,依次为:网络互联,网络协议,媒体传输,设备的发现控制和管理,媒体格式。
具体说来,DLNA本身是不支持加密的,因此,当智能电视通过DLNA协议端口如55000和55001,与其他设备连接时,其通信过程可能会被拦截,并泄露重要的认证信息。
6)远程控制攻击
现今有很多智能终端可以作为虚拟控制终端对智能电视进行控制,通过前面提到的DLNA协议的55001端口就可以实现对智能电视的连接和控制,而对遥控器程序稍加改进就可以模拟初始的认证过程而可以任意访问和控制智能电视设备。
题外:由BIRTV组委会主办、DVBCN承办的“2014BIRTV智能电视信息安全&应用发展峰会”将于8月27日在北京皇家大饭店召开,拟邀请相关政府部门、智能电视厂商、安全厂商、广电运营商、OTT TV服务商等共同探讨如何为智能电视、增值应用和用户个人信息安全保驾护航,欢迎您的参与!
责任编辑:饶军
为您推荐
大势所趋 英特尔为智能电视带来新契机英特尔春季信息技术峰会IDF2010近日在北京国际会议中心如期开幕,英特尔多位高管登场发表演讲,畅谈了多种新技术。英特尔IDF于1997年在美国旧金山启动,1999年首次进驻中国北京。本次的IDF亮点之一是,英特尔展示了新系列SoC片上系统媒体处理器“AtomCE4100”,意在为联网AV设备带来互联网内容和服务,诸如数字电视、DVD/BD播放机、IPTV/Hybrid高级机顶盒等等。
逐鹿智能电视韩国三星电子和LG电子通过近几年与日本索尼和夏普的激烈竞争,目前在全球电视市场占有率方面分列前两名。当专家们认为韩国电视产业会在一段时间内领先于日本,占据全球电视霸主地位时,苹果和谷歌加入了电视市场争夺战行列,从而使得全球电视市场格局出现了新变数,市场争夺形势已然进入乱花渐欲迷人眼的状态。染指电视苹果谷歌齐出手苹果公司首席执行官史蒂夫·乔布斯在4月关于“苹果公司非凡新产品”的表态,被外界普遍认为是苹果公司涉足电视市场的强烈信号。Eugene投资证券公司分析师说:“苹果最快可能在今年第四季度,谷歌最快是在今年11月左右推出新的电视。韩国电视生产商如果不能正确应对苹果和谷歌掀起的电视新发展趋势,很
国内首款智能电视(基于Android系统)在TCL研制成功据TCL集团副总裁、研究院院长闫晓林博士介绍,基于Android操作系统的智能电视,最大的特点是该系统平台对外的统一开放性,它可以把成千上万的第三方软件提供给用户选择,正如手机系统和电脑系统一样,根据需要个性化安装。第二个特点是,用户除了观看传统的电视频道外,还可连接互联网享受整个网络世界的资源,操作简单如同电脑一样,例如可以进行视频点播、视频聊天、互动体感游戏和网络购物等等。此外,智能电视还提供广泛的家用网络电子设备连接能力,成为家用电子设备的控制、交互中心。此外,在多媒体显示技术方面,TCL开发完善了多层显示控制技术,显示内容和效果更加多样化,加上TCL自然光技术,使用户收视体验得到空前提
