Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ktoś przejął / zainfekował 1300000 TV boxów w 197 krajach.
Backdoor Android.Vo1d infekuje TV boxy, pracujące na niezaktualizowanych, starych wersjach Androida.
Atakujący mają zdalny dostęp do administratora / roota na przejętych TV boxach. Potencjalnie to oznacza dostęp do plików, możliwość instalowania appek, czy dalszą infiltrację sieci ofiary.
Na razie nie wiadomo jaki jest sposób infekcji (wskazuje się oczywiste podatności w starym firmware i/lub instalowanie zainfekowanych firmware przez użytkowników).
Jak się zabezpieczyć?
✅ Pamiętajcie o okresowych aktualizacjach telewizorów / TV boxów
✅ W miarę możliwości sprzęt klasy IoT umieszczajcie w osobnej, odseparowanej sieci
✅ Nie wystawiajcie telewizora / TV boxów bezpośrednio do Internetu (tj. nie w ten sposób aby usługi / porty na telewizorze były bezpośrednio dostępne z Internetu)
✅ Nie instalujcie alternatywnych firmware z „losowych źródeł”
IOC tutaj.
~ms
Mozna tez uzywac TV jako typowego odbiornika. Czyli podlaczyc tylko zasilanie i kabel sygnalowy typu HDMI. Obraz z neta puszczac z miniPC, konsoli etc.
Od czasu wprowadzenia smartfonów to człowiek jest odbiornik :|
Pozwolę sobie zacytować podlinkowany artykuł, bo bęce opadają: „Unfortunately, it is not uncommon for budget device manufacturers to utilize older OS versions and pass them off as more up-to-date ones to make them more attractive.”. To jakby sprzedawać komputery z Windowsem 11, a instalować siódemki.
milion ludzi moduje TVboxy?
Tu nawet nie trzeba infekować. Już jakiś czas temu były raporty, że tanie boxy 4K/8K z Ali na starcie mają backdoory w fabrycznym firmware. To jest większy biznes niż boxy. Ludzie myślą, że za 30 dolców mają boxa 8K, a przy okazji budują solidną farmę dla chińczyka, która może być użyta do wszystkiego od zwykłego botneta po infiltrację np. sieci lokalnych w poszukiwaniu interesujących zasobów. Trzeba być naprawdę szalonym, żeby kupować te boxy.
Już w 2016r media w USA pisały o tym że tanie telefony z alibaby czy innych chińskich serwisów miały bankowe trojany i/lub backdoory.
Dziwisz się? Ilu ludzi wie cokolwiek o bezpieczeństwie tak procentowo? Jak dla mnie powinien być model sprzedaży taki, że jak ktoś wypuszcza śmiecia na rynek powinien zapłacić pełna kwotę za naprawę urządzenia. Ludzie młodzi poniżej 30 jeszcze może coś tam ogarniają (zaznaczam może). A myślisz że jak porównają dwa boxy za 200 i 500 z takimi samymi funkcjami to który wezmą, jak oba będą miały porównywalne funkcje. Na pudełku nie ma napisane ma robala może się włamywać na Twoje urządzenia. Zresztą na tym za 500 też nie ma
@ms – ale tutaj właśnie taki przypadek. tvbox został zainfekowany a nie telewizor.
@ms
Czy TVbox zaliczamy do IoT? Bo ja bym go zaliczył jednak do kompów. Skoro można na nim instalować apki. W sumie chyba jest czymś pośrednim?
Kojarzę że niektóre routery (nie pamiętam modeli, widziałem przy okazji robienia czegoś innego) mają obok dedykowanej sieci dla IoT też coś w rodzaju sieci o nazwie sugerującej że chodzi o domową rozrywkę czyli chyba TV? A jeszcze nie zawsze TV /dekoder umie działać na wifi, czasem chce kabel.
Problem jest ciekawy!
Skoro telefon NALEŻY zmieniać co 2-3 lata, bo po tym czasie jest już niebezpieczny, to i telewizor również.
Nawet jeśli nie „postarzą go programowo” (np. wczoraj działał YouTube, a dziś już nie), to i tak MUSISZ go zmienić, bo ma dziury.
Producenci się cieszą, wysypiska śmieci rosną.
Tyle ludzi wystawiło tvboxy za NAT? Wątpię.
Cześć. Niestety nawet poważne firmy czy operatorzy oferujący różne boxy mają w nosie aktualizacje bo przeważnie kontrakty są po taniości zawierane bez wsparcia technicznego i aktualizacji boxow. A i te z wolnego rynku są w podobny sposób przez producenta traktowane. Najważniejsze jest wypuszczać coraz to nowe plastikowe kozackie obudowy i pisać, jaki to rewelacyjny sprzęt. A o aktualizację nikt z producentów nie dba.
Rozbawiły mnie te porady na koniec. Przestańcie kupować urządzenia IoT niewiadomego pochodzenia. Tyle i tylko tyle.
pokaż mi kilka urządzeń IoT „wiadomego pochodzenia” ale bez hardcore bugów. W międzyczasie podrzucam parę inspiracji ;)
https://sekurak.pl/zdalne-wykonanie-kodu-rce-na-d-link-dir-x4860/
https://sekurak.pl/owocne-lowy-badawczy-podczas-pwn2own-latajcie-kamery-wyze-cam-v3/
https://sekurak.pl/arcanedoor-nowa-tajemnicza-kampania-hackerska-przejmujaca-kluczowe-urzadzenia-cisco-asa-cisco-firepower-threat-defense/
https://sekurak.pl/gruba-cyber-operacja-o-zasiegu-globalnym-przejete-dostepy-do-vpn-w-1700-duzych-firmach-na-calym-swiecie/
https://sekurak.pl/backdoorowanie-termostatow-boscha-cve-2023-49722/
https://sekurak.pl/apple-wypuszcza-latke-bezpieczenstwa-na-klawiature-atakujacy-wykonujac-pewne-wstepne-dzialania-moze-podsluchiwac-nacisniecia-klawiszy-cve-2024-0230/
https://sekurak.pl/dwa-zero-daye-umozliwiaja-zdalne-przejecie-kontroli-nad-urzadzeniem-vpn-ivanti-connect-secure-pulse-secure-podatnosci-sa-juz-wykorzystywane-w-dziczy/
Oczywiście, że mainstreamowi producenci również zaliczają hardkorowe bugi. Tylko, że to najczęściej sytuacje kiedy atakujący musi być „złośliwą pokojówką”, być w tej samej sieci lokalnej albo użytkownik sam wystawi na świat jakiś interfejs do zarządzania. A jeżeli to atak celowany w sprzęt klasy enterprise to sprawa będzie nagłośniona i szybko dostaniesz łatkę.
Zgodzisz się, że to jednak co innego niż przejęcie z automatu miliona urządzeń domowych przez jakiś ewidentny backdoor :). Większości takich sprzętów i tak nikt nie bada więc strach pomyśleć co się dzieje na mniejszą skalę.
@totalizator
Ale to jest dobre rozwiązanie, mieć podzieloną sieć na kilka obwodów, w tym oczywiście osobne wifi do IoT. Natomiast nie każde urządzenie chce pracować po wifi, wtedy można pokombinować z separacją klasyczną.
Tym co mnie niepokoi, jest jednak że 1) tvboxy są także dostarczane przez dostawców, skonfigurowane i nie do modyfikacji przez klienta. 2) opisane w artykule są na androidzie.
Powiem więcej – osobna sieć dla dla IoT to jest mus. Tylko jeżeli to faktycznie VLAN odseparowany z pomocą firewalla albo podobnie działająca funkcja „guest network” w domowym ruterze.
Z ciekawostek – wpięcie rutera w ruter nic nie separuje w stronę urządzenia które jest upstream, nawet jeżeli używa innego subnetu. Wspominam bo pewnie wiele osób tak sobie robi krzywdę też.
Teraz użytkownicy zaczną masowo infekować swoje TV Boxy innym wirusem pod przyjaźnie brzmiącą nazwą DR.Web od „przyjaciół” zza wschodniej granicy.
No ok
Ale teraz jak sprawdzić czy mój też został zhackowany