Kupiłeś tani chiński TV-box? Setki z nich mają nieusuwalną tylną furtkę, hakerzy mogą robić, co chcą
Popularyzacja telewizorów klasy SmartTV nie przebiega równomiernie i spora część użytkowników, zamiast decydować się na wymianę telewizora, wybiera kupno tej lub innej tzw. przystawki klasy TV-box – niewielkiego urządzenia podłączanego za pośrednictwem USB z preinstalowanym systemem operacyjnym, które zamienia każdy telewizor w SmartTV. Gorzej, jeśli przystawka wyposażona została w nieusuwalny backdoor.
Tanie TV-boksy wektorem ataku
Również w Polsce przystawki telewizyjne cieszą się dużą popularnością. Problem w tym, że jeśli już, to rzadko decydujemy się na urządzenia bazujące na strumieniowaniu z użyciem protokołu Cast czy urządzenia z serii Amazon Fire. Oczywiście mają one swoje liczne wady, ale dają też gwarancję, że jeśli dzwonią do domu, to domem tym jest Google czy Amazon, czyli firmy, które zazwyczaj najgorsze co mogą zrobić z użyciem backdoora, to wykorzystać go do skuteczniejszego targetowania reklam.
Gorzej jeśli wybór padnie na niezwykle popularne swojego czasu w Polsce (i zdaje się dość nieśpiesznie wypierane przez SmartTV) urządzenia produkcji chińskiej, za którymi nie stoi zazwyczaj żaden producent, wobec którego można byłoby wyciągnąć jakiekolwiek konsekwencje. A właśnie taką sytuację dostrzegł Daniel Milisic – zauważył on, że w siedmiu popularnych urządzeniach z Androidem wykorzystywanych jako przystawki został zainstalowany nieusuwalny backdoor. Jak donosi Wired, oznaczenia urządzeń to: T95, T95Z, T95MAX, X88, Q9, X12PLUS oraz MXQ Pro 5G. To jednak tylko część zidentyfikowanego sprzętu, liczba modeli, których dotyczy problem, może oscylować nawet około 200.
„Nie muszę rejestrować telewizora, jeżeli nie będę na nim oglądał telewizji”. Poczta Polska obala słynny mitJakie jest zagrożenie?
Dostęp do backdoora daje osobie po drugiej stronie lustra w zasadzie nieograniczoną kontrolę nad urządzeniem i w danym przypadku możliwości te wykorzystywane są na dużą skalę. W toku badań dostrzeżono między innymi, że tylna furtka jest wykorzystywana do zdalnego wykorzystywania kodu, instalowania fałszywych aplikacji Gmaila i WhatsAppa, oczywiście w celu kradzieży danych uwierzytelniających, a nawet przekazywania dalej hasła do Wi-Fi, do którego podłączona jest przystawka.
Jak duża jest skala zjawiska? Duża – w eterze dostrzeżono, że z użyciem przystawek uzyskano dostęp do nawet 10 mln domowych adresów IP oraz 7 mln adresów IP smartfonów, które się z Wi-Fi połączyły. Innymi danymi dysponuje Trend Micro, którego analitycy są zdania, że zidentyfikowali firmę-słupa zamieszanego w kampanię: w tym przypadku mowa już o nawet 20 mln urządzeń na całym świecie, przy czym 2 mln z nich są aktywne w dowolnym momencie. To stwarza gigantyczne możliwości.
W takim kontekście naiwnie byłoby twierdzić, że działania są nieskoordynowane. Badacze Human Security ustalili już, że całość jest elementem większej kampanii Badbox/Peachpit. Strategia bazuje na dwóch operacjach – najpierw na rynek dostarczane jest wyposażone w backdoor urządzenie (Badbox), a następnie do sklepów z androidowym oprogramowaniem (niekoniecznie tylko Google Play) trafiają zainfekowane aplikacje (Peachpit). Po tym jak urządzenia trafiają do końcowym klientów, automatycznie pobierane jest malware.
Co robić z chińskimi TV-boksami?
Jak się chronić przed zagrożeniem, jeśli jest się posiadaczem któregoś z wymienionych urządzeń? Przede wszystkim należy je zresetować do ustawień fabrycznych, następnie wyłączyć i zaprzestać jego wykorzystywania. Jeśli jednak przystawka zdążyła już „zadzwonić do domu”, to konieczna będzie zmiana danych uwierzytelniających we wszystkich aplikacjach, które były wykorzystywane na TV-Boksie. Należy także zresetować hasło do Wi-Fi, do którego podłączany był TV-Box.
To jednak rzecz jasna podstawowe miary bezpieczeństwa i nie gwarantują, że na innych urządzeniach za pośrednictwem Wi-Fi nie zostało zainstalowane malware. Dlatego każde z urządzeń, które łączyły się z daną siecią bezprzewodową, warto przeskanować oprogramowaniem antywirusowym.