Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ciekawe podatności w SmartTV firmy TCL opartych na Androidzie (dostępne też w Polsce)
Nieco przegadany opis problemów można znaleźć na blogu badacza. TCL to chińska firma, która niedawno weszła na podium światowej sprzedaży SmartTV. Co z podatnościami?
Na początek, filesystem telewizora dostępny z sieci lokalnej. Otwartych portów widać tutaj dużo (po co aż tyle? po co jakiekolwiek otwarte? :)
Na jednym z tym portów działa webserwer i dodatkowo można tam przeglądać filesystem urządzenia (nie wymagane jest uwierzytelnienie):
Co można tam znaleźć ciekawego? Np. ustawienie pełnych uprawnień (777) do katalogu z aktualizacjami telewizora (potencjalnie umożliwiałoby to np. appkom działającym na urządzeniu podrzucenie spreparowanych aktualizacji – choć badacz nie wykonał takiego PoC-a)
Na koniec chyba najbardziej niepokojąca informacja. W trakcie testów, a po zgłoszeniu bugów do producenta, telewizor został po cichu zaktualizowany (załatany). Bez żadnego komunikatu informującego o aktualizacji.
Niby różne „brzydkie rzeczy” mogą znajdować się na telewizorze od samego początku, jednak sama możliwość cichej aktualizacji prosto z Chin, może obrońców prywatności czy fanów bezpieczeństwa przyprawić o gęsią skórkę.
–ms
Te podatności to pikuś. Chciałbym się dowiedzieć jaki jest rzeczywisty czas reakcji matrycy bo takiego „smużenia ruchu” nie widziałem na żadnym innym telewizorze, no może poza tv od xiaomi.
Nigdy o tym nie myślałem, ale telewizory mogą nieźle nas profilować. Nie jest to może za dokładne (w końcu ogląda cała rodzina, a zalogowane jest tylko jedno konto), ale pewnie te dane są coś warte, np. u reklamodawców.
Prędzej czy później o tym przeczytamy.
TCL ma od kilkunastu lat montownie w Żyrardowie, odkupioną bodajże od Thomsona. Smart TV robią od dawna, nawet maja piloto-klawiaturki. Generalnie to fabryka OEM.