Kupiłeś tani chiński TV-box? Setki z nich mają nieusuwalną tylną furtkę, hakerzy mogą robić, co chcą
Popularyzacja telewizorów klasy SmartTV nie przebiega równomiernie i spora część użytkowników, zamiast decydować się na wymianę telewizora, wybiera kupno tej lub innej tzw. przystawki klasy TV-box – niewielkiego urządzenia podłączanego za pośrednictwem USB z preinstalowanym systemem operacyjnym, które zamienia każdy telewizor w SmartTV. Gorzej, jeśli przystawka wyposażona została w nieusuwalny backdoor.
Tanie TV-boksy wektorem ataku
Również w Polsce przystawki telewizyjne cieszą się dużą popularnością. Problem w tym, że jeśli już, to rzadko decydujemy się na urządzenia bazujące na strumieniowaniu z użyciem protokołu Cast czy urządzenia z serii Amazon Fire. Oczywiście mają one swoje liczne wady, ale dają też gwarancję, że jeśli dzwonią do domu, to domem tym jest Google czy Amazon , czyli firmy, które zazwyczaj najgorsze co mogą zrobić z użyciem backdoora, to wykorzystać go do skuteczniejszego targetowania reklam.
Gorzej jeśli wybór padnie na niezwykle popularne swojego czasu w Polsce (i zdaje się dość nieśpiesznie wypierane przez SmartTV) urządzenia produkcji chińskiej, za którymi nie stoi zazwyczaj żaden producent, wobec którego można byłoby wyciągnąć jakiekolwiek konsekwencje. A właśnie taką sytuację dostrzegł Daniel Milisic – zauważył on, że w siedmiu popularnych urządzeniach z Androidem wykorzystywanych jako przystawki został zainstalowany nieusuwalny backdoor. Jak donosi Wired, oznaczenia urządzeń to: T95, T95Z, T95MAX, X88, Q9, X12PLUS oraz MXQ Pro 5G . To jednak tylko część zidentyfikowanego sprzętu, liczba modeli, których dotyczy problem, może oscylować nawet około 200.
Jakie jest zagrożenie?
Dostęp do backdoora daje osobie po drugiej stronie lustra w zasadzie nieograniczoną kontrolę nad urządzeniem i w danym przypadku możliwości te wykorzystywane są na dużą skalę. W toku badań dostrzeżono między innymi, że tylna furtka jest wykorzystywana do zdalnego wykorzystywania kodu, instalowania fałszywych aplikacji Gmaila i WhatsAppa, oczywiście w celu kradzieży danych uwierzytelniających, a nawet przekazywania dalej hasła do Wi-Fi , do którego podłączona jest przystawka.
Jak duża jest skala zjawiska? Duża – w eterze dostrzeżono, że z użyciem przystawek uzyskano dostęp do nawet 10 mln domowych adresów IP oraz 7 mln adresów IP smartfonów , które się z Wi-Fi połączyły. Innymi danymi dysponuje Trend Micro, którego analitycy są zdania, że zidentyfikowali firmę-słupa zamieszanego w kampanię: w tym przypadku mowa już o nawet 20 mln urządzeń na całym świecie, przy czym 2 mln z nich są aktywne w dowolnym momencie. To stwarza gigantyczne możliwości.
W takim kontekście naiwnie byłoby twierdzić, że działania są nieskoordynowane. Badacze Human Security ustalili już, że całość jest elementem większej kampanii Badbox/Peachpit . Strategia bazuje na dwóch operacjach – najpierw na rynek dostarczane jest wyposażone w backdoor urządzenie (Badbox), a następnie do sklepów z androidowym oprogramowaniem (niekoniecznie tylko Google Play) trafiają zainfekowane aplikacje (Peachpit). Po tym jak urządzenia trafiają do końcowym klientów, automatycznie pobierane jest malware.
Co robić z chińskimi TV-boksami?
Jak się chronić przed zagrożeniem, jeśli jest się posiadaczem któregoś z wymienionych urządzeń? Przede wszystkim należy je zresetować do ustawień fabrycznych, następnie wyłączyć i zaprzestać jego wykorzystywania. J eśli jednak przystawka zdążyła już „zadzwonić do domu”, to konieczna będzie zmiana danych uwierzytelniających we wszystkich aplikacjach, które były wykorzystywane na TV-Boksie . Należy także zresetować hasło do Wi-Fi, do którego podłączany był TV-Box.
To jednak rzecz jasna podstawowe miary bezpieczeństwa i nie gwarantują, że na innych urządzeniach za pośrednictwem Wi-Fi nie zostało zainstalowane malware. Dlatego każde z urządzeń, które łączyły się z daną siecią bezprzewodową, warto przeskanować oprogramowaniem antywirusowym.
