近期，賽門鐵克研究人員針對新型智能電視進行實驗研究，以了解其抵御網(wǎng)絡(luò)攻擊的能力。實驗結(jié)果顯示，被感染勒索軟件的全新智能電視均遭受無法使用的后果。賽門鐵克將通過本文揭示智能電視中的安全問題，包括遭受攻擊的方式、受到攻擊的原因以及如何保護智能電視免受攻擊。

智能電視特性

除了普通功能之外，新型智能電視還允許觀眾瀏覽網(wǎng)頁、觀看并點播流媒體，支持下載并運行應(yīng)用程序。目前，智能電視正迅速成為家庭和商業(yè)環(huán)境中的標配。報道預(yù)測，到2016年，北美與西歐家庭中的網(wǎng)絡(luò)電視數(shù)量將達到1 億臺。

當前智能電視主要采用四種操作系統(tǒng)：Tizen、WebOS 2.0、Firefox OS 或 Android TV（Android 5 Lollipop 的版本之一）。在本次試驗中，雖然所進行測試的電視運行為Android系統(tǒng)，但針對智能電視進行的攻擊與品牌和操作系統(tǒng)無關(guān)。

智能電視如何受到攻擊 ？

將惡意軟件安裝于電視中是最常見的攻擊形式。除了通過電視USB端口手動安裝惡意軟件或從官方市場意外下載感染應(yīng)用以外，攻擊者還可能采用以下幾種方法：

? MitM 攻擊

攻擊者通過實施中間人 （MitM）攻擊將惡意軟件安裝于電視中。他們需要在相同網(wǎng)絡(luò)路徑上實施該攻擊，但這也可以通過獲取Wi-Fi密碼或截獲DNS請求等方式達到攻擊目的。并非所有電視連接都采用SSL加密，即使部分電視采用SSL加密，也無法徹底驗證證書。例如，攻擊者能夠輕松創(chuàng)建自簽名證書以應(yīng)對部分接受自簽名SSL證書的電視。避免電視不安全通信的另一種方式是利用實體可信根設(shè)備證書（Solid Roots of Trust），現(xiàn)在有線電視行業(yè)已經(jīng)采用這種方法來實現(xiàn)內(nèi)容保護。

當用戶下載應(yīng)用時，攻擊者會攔截下載請求，并將其重新定向至其他服務(wù)器。此時，電視將不能從合法服務(wù)器下載真正的應(yīng)用，而會被重新定向至其他服務(wù)器使電視下載惡意應(yīng)用。當下載完成，用戶需要接受惡意軟件應(yīng)用的運行請求。由于用戶并不知道所下載為惡意應(yīng)用，因此他們很可能會接受并安裝該應(yīng)用。

? 利用漏洞

攻擊者還能夠利用軟件漏洞攻擊電視。由于智能電視擁有瀏覽網(wǎng)頁的功能，攻擊者可以引導(dǎo)用戶訪問惡意網(wǎng)站，該惡意網(wǎng)站能夠檢測電視中存在漏洞的軟件，并利用漏洞，實現(xiàn)有效載荷。由于智能電視本身會具有多種不同媒體格式及文件格式漏洞，例如近期的libpng漏洞，它們是攻擊者理想的利用目標。

? 系統(tǒng)更新或未進行更新

現(xiàn)在，許多智能電視都能夠在設(shè)備空閑時提供自動檢查、更新并下載的功能。即使電視操作系統(tǒng)開發(fā)人員定期發(fā)布軟件更新，用戶仍舊需要依靠電視制造商為設(shè)備發(fā)布更新，這意味著，在等待發(fā)布更新的期間，用戶的電視會非常容易受到攻擊。

此外，一些智能電視會從非SSL網(wǎng)站下載固件更新，MitM攻擊者可以攔截并丟棄這一網(wǎng)絡(luò)流量。這意味著，攻擊者能夠阻止電視更新，使其容易受到現(xiàn)有漏洞的攻擊。從另一個角度說，修改更新程序包本身非常困難，因為在安裝之前需要進行加密和驗證。但我們也看到，一些設(shè)備的更新并不能起到保護作用。

? 電視遠程應(yīng)用

由于能夠被安裝于移動設(shè)備，電視遠程應(yīng)用程序?qū)艿接脩舻臍g迎。這種應(yīng)用由質(zhì)詢響應(yīng)PIN碼（Challenge-Response PIN）授權(quán)。處在相同網(wǎng)絡(luò)中的攻擊者可以探測到已認證的遠程控制設(shè)備，重新播放命令，從而進行更改電視頻道、調(diào)整音量或關(guān)閉電視等攻擊舉動。任何網(wǎng)絡(luò)可訪問的服務(wù)都存在風(fēng)險，目前已發(fā)生多起拒絕服務(wù)（DoS ）攻擊以及利用智能設(shè)備上的UPnP漏洞所進行的遠程執(zhí)行代碼事件。一般而言，攻擊者需要訪問本地網(wǎng)絡(luò)或在相同的網(wǎng)絡(luò)中的電腦上運行惡意軟件，以便實施此類攻擊。

為何攻擊智能電視？

攻擊者可能會出于各種各樣的原因攻擊智能電視，例如：

? 點擊欺詐

攻擊智能電視獲利的方式之一是在電視上安裝廣告軟件或惡意軟件以實施點擊欺詐。由于電視長期保持打開狀態(tài)，攻擊者能夠在未經(jīng)用戶同意的情況下在幕后持續(xù)進行廣告點擊，從而獲益。

? 僵尸網(wǎng)絡(luò)

攻擊者能夠在智能電視中添加僵尸網(wǎng)絡(luò)，利用其實施分布式拒絕服務(wù) （DdoS） 攻擊。對于這種攻擊，路由器是更好的攻擊目標。使用默認密碼的路由器更容易遭受攻擊。

? 數(shù)據(jù)盜竊

盜取線上流媒體服務(wù)或應(yīng)用商店（例如Google Play）的賬戶憑證是也攻擊者攻擊智能電視的原因之一。雖然用于Android電視中的 Android 版本很難使應(yīng)用程序盜竊此類賬戶數(shù)據(jù)，但攻擊者卻能夠通過其他智能電視操作系統(tǒng)實施盜竊。

? 加密貨幣挖掘

新型智能電視裝有高性能顯卡芯片，攻擊者以其作為攻擊目標來挖掘加密貨幣（例如比特幣）。但相對于專用ASIC芯片，受到攻擊的智能電視并不能為網(wǎng)絡(luò)罪犯創(chuàng)造大量利益，僅有部分大型電視網(wǎng)絡(luò)能被攻擊者所利用。

? 勒索

利用勒索軟件感染智能電視是攻擊者獲取利益的方式之一。電視勒索會造成電視用戶大量金錢損失。與電腦和智能手機勒索事件相同，無法訪問設(shè)備所產(chǎn)生的威脅以及攻擊者所掌握的數(shù)據(jù)都足以讓受害者心甘情愿地交付贖金。此外，這種攻擊實施起來十分容易。

? 訪問其他聯(lián)網(wǎng)設(shè)備

攻擊智能電視可以作為罪犯訪問家庭網(wǎng)絡(luò)環(huán)境或商務(wù)環(huán)境中其他設(shè)備的中繼站。

? 隱私

智能電視能夠收集大量隱私信息，例如錄音及視頻數(shù)據(jù)等。在智能電視上傳至后臺之前或期間，網(wǎng)絡(luò)罪犯會試圖盜取用戶數(shù)據(jù)，以便利用此類數(shù)據(jù)調(diào)整后續(xù)攻擊或?qū)τ脩暨M行勒索。

智能電視如何感染勒索軟件？

有些電視設(shè)有預(yù)安裝游戲門戶網(wǎng)站，用戶能夠在此門戶網(wǎng)站上選擇并安裝游戲。但這些網(wǎng)站在與服務(wù)器通信時并未使用加密的網(wǎng)絡(luò)請求。這使MitM攻擊者能夠修改已顯示的所有應(yīng)用信息以及應(yīng)用本身的位置，以便誘導(dǎo)用戶安裝惡意應(yīng)用。例如，用戶認為自己在安裝新的賽車游戲，但實際上攻擊者已將安裝請求重新定向至外觀相同卻具有木馬病毒的應(yīng)用版本。

在實驗中，賽門鐵克研究人員使用的電視運行 Android 系統(tǒng)。由于勒索軟件能夠蔓延至移動設(shè)備甚至智能手表，該實驗希望了解攻擊者是否能夠利用勒索軟件感染電視。

實驗將采用上述MITM攻擊為設(shè)定場景，賽門鐵克研究人員設(shè)法挾持游戲安裝程序，并請用戶在電視上安裝和啟動惡意應(yīng)用。不出所料，幾秒鐘后，惡意應(yīng)用開始運行并鎖定電視，并在屏幕上顯示勒索信息，導(dǎo)致電視無法使用。該勒索軟件每隔幾秒便會顯示勒索信息，用戶無法執(zhí)行任何與電視的其他交互動作。

智能電視如果采用常見的Android安全設(shè)置，在默認情況下，該安全設(shè)置會禁止從第三方市場安裝，并要求驗證下載應(yīng)用。這些設(shè)置會幫助用戶最大程度地降低意外安裝惡意軟件的風(fēng)險。用戶需要在修改設(shè)置前認真考慮安全風(fēng)險。

如何避免智能電視遭受攻擊？

如果智能電視感染勒索軟件，用戶應(yīng)該如何應(yīng)對？在一些情況下，用戶只需通過系統(tǒng)菜單卸載惡意軟件即可。但在某些情況下，清理受感染的智能電視具有一定難度。由于實驗中所使用的勒索軟件攻擊性較強，威脅交互窗口顯示時間為2秒鐘，這不足以讓賽門鐵克研究人員通過菜單將其卸載。如果重啟電視，在威脅啟動前，交互窗口會有20秒的顯示時間，但該時間長度同樣不足以啟動恢復(fù)出廠設(shè)置或訪問卸載設(shè)置。

不僅如此，當賽門鐵克研究人員試圖通過電視制造商在線技術(shù)支持尋求幫助時，惡意軟件會阻止電視上的遠程支持會話功能。由于此前賽門鐵克研究人員啟用了隱藏的Android ADB調(diào)試選項，該選項能夠通過ADB模式移除木馬程序。但對于經(jīng)驗不足的普通用戶而言，一旦智能電視受到感染，他們將很可能無法打開智能電視，使電視變?yōu)橘F重的“廢品”。

賽門鐵克安全防御建議：

目前大多數(shù)攻擊為安全研究人員的概念性驗證，賽門鐵克尚未發(fā)現(xiàn)針對智能電視的普遍惡意軟件攻擊，但這并不意味著攻擊者不會在未來構(gòu)成威脅。隨著智能電視愈加受到歡迎，網(wǎng)絡(luò)罪犯終將以它們?yōu)楣裟繕恕Ｙ愰T鐵克建議智能電視用戶考慮以下安全防御建議：

? 在購買和設(shè)置過程中，查看隱私條款，了解所同意共享的數(shù)據(jù)。許多公司會將用戶數(shù)據(jù)共享和出售給第三方，用戶需要認真查看條款以及對隱私的影響；

? 謹慎從未知源上安裝未經(jīng)驗證的應(yīng)用程序；

? 在設(shè)置中啟用應(yīng)用驗證；

? 根據(jù)個人需求，修改設(shè)備的隱私與安全設(shè)置；

? 禁用不常用的功能，例如攝像機或麥克風(fēng)，并考慮遮擋攝像頭；

? 在不需要時，禁用或保護對智能電視的遠程訪問；

? 在設(shè)置Wi-Fi網(wǎng)絡(luò)時，采用WPA2等強大的加密措施；

? 盡可能使用有線連接，而非無線連接；

? 盡可能在獨立家庭網(wǎng)絡(luò)中對設(shè)備進行設(shè)置。例如建立訪客賬戶，以便隔離受到攻擊設(shè)備對自身家庭網(wǎng)絡(luò)的影響；

? 在購買二手智能電視時，請?zhí)岣咧斏?#xff0c;該設(shè)備可能曾遭受攻擊或篡改；

? 在購買前，研究供應(yīng)商的設(shè)備安全措施和更新頻率，以了解供應(yīng)商是否即時提供安全更新；

? 在第一時間對設(shè)備和應(yīng)用進行更新，并啟用自動更新。

為了幫助并提高用戶對物聯(lián)網(wǎng)設(shè)備安全的意識，賽門鐵克參與了在線信任聯(lián)盟，該非營利組織致力于為智能家庭和聯(lián)網(wǎng)設(shè)備開發(fā)安全和隱私標準。

原文發(fā)布時間為：2015-12-15

本文作者：新華網(wǎng)

本文來自云棲社區(qū)合作伙伴至頂網(wǎng)，了解相關(guān)信息可以關(guān)注至頂網(wǎng)。

總結(jié)

以上是生活随笔為你收集整理的赛门铁克发现智能电视或面临感染勒索软件的威胁的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。