新型攻击形式:骇客如何利用无人机接管你家电视

  • 全面联网意味着全面的危机。这是常理。

大多数人的关注目光还被锁定在笔记本电脑和智能手机的安全性上,然而,真的需要环顾下四周了 —— 数以百万计家庭的起居室里那个最大的屏幕,仍然基本上没有任何安全保障。

今天的智能电视可能成为任何数量的骇客技巧的牺牲品 —— 一架配置了无线电软件的无人机只要靠近智能电视的天线,就可以对你家的电视无所欲为了。

在本届 Defcon 黑客大会上,独立安全研究员 Pedro Cabrera 在一系列黑客攻击展示中演示了针对现代电视的攻击手段 —— 尤其是那些使用互联网连接的标准智能电视。这类电视在他的家乡西班牙、在整个欧洲都非常普及,而且世界上其他大部分地区也是如此。

这种攻击技术可以强制电视显示骇客选择的任何视频、显示要求输入密码的网络钓鱼消息、注入捕获用户按键的键盘记录器,还能运行勒索软件

所有这些攻击之所以能实现,源于电视网络通信中普遍缺乏认证,即使它们已经越来越多地与互联网服务集成,可以让攻击者以更危险的方式与这些联网设备互动,单向的简单广播时代早已一去不复返。

延伸:CIA如何将你家的电视机变成窃听器零日漏洞和 CIA 黑客工具

“缺乏安全意味着攻击者可以用任何联网设备广播他们想要的东西,任何智能电视都可以实现这点,” Cabrera 说。“这是一次成功的攻击”。

在下面的视频中,Cabrera 展示了最简单的攻击形式,尽管有一个涉及大疆四轴无人机的实施有点华而不实。

通过简单地将配备了无线电信号放大器的无人机悬停在电视天线附近,攻击者就可以发送比合法电视网络广播的信号更强大的信号,覆盖合法信号,并在电视上显示攻击者想要的视频。

“如果我想瞄准我的邻居,最简单的方法是使用信号放大器和定向天线,然后确保我的信号被接收的强度远远超过原来的信号,因此我的邻居将接收到我指定的频道,” Cabrera 说。

他还展示了一系列其他攻击,利用的是 HbbTV 电视标准,该标准允许电视连接到互联网并接收互动内容。

Cabrera 可以通过相同的基于无线电的信号覆盖,使 HbbTV 电视机连接到他控制的网络服务器的 URL,以便他自己的代码在目标电视上运行。

下面的视频演示了一个网络钓鱼攻击,诱使用户输入密码。

Cabrera 认为,通过电子邮件进行网络钓鱼的方法已经过时了,因为用户已经学会了非常小心;但是电视机则不同,这种基于电视的网络钓鱼攻击可能会非常有效。

“目前还没有人能料想到在智能电视上进行这种社交工程攻击”,他说。

Cabrera 并不是第一个展示了智能电视容易遭受此类攻击的人。

安全研究人员已经持续警告 HbbTV 标准的脆弱性超过五年

两年前,Oneconsult 公司的安全研究员 Rafael Scheel 就曾指出,针对 HbbTV 设备的攻击可能与三星智能电视浏览器中的漏洞相结合,以令攻击者获得对电视机的完全远程访问权限。

在访谈中 Cabrera 认为,攻击者可能会直接破坏电视台或其无线电信号转发器设备,使得恶意信号可以向数千万台电视广播

“例如你可以攻击一台电视,你的邻居,但是我们也可以使用同样的攻击形式覆盖整个城镇,甚至整个国家。”

当然他没有测试过这一攻击的效果,因为西班牙政府显然拒绝了他的测试请求。

理论上。针对 Cabrera 和 Scheel 所描述的攻击是可以避免的。在 Scheel 2017 年演讲的时候,数字视频广播行业机构创建了一个加密签名传输协议,以便阻止像 Scheel 和 Cabrera 描述的这类攻击。

但是,Scheel 表示,他并不知道有任何电视网络或电视制造商已经实施了该协议:“我与电视台进行了很多讨论,但很难让他们改变任何东西,他们的技术非常顽固。”

总之,目前为止全世界数以百万计的 HbbTV 兼容设备仍然很容易受到这类过于简单的攻击。你家的电视,应该小心。⚪️

WATCH A DRONE TAKE OVER A NEARBY SMART TV

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据