首頁 收藏 QQ群
 網(wǎng)站導(dǎo)航

ZNDS智能電視網(wǎng) 推薦當(dāng)貝市場

TV應(yīng)用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計(jì)算器

綜合交流 / 評(píng)測 / 活動(dòng)區(qū)

交流區(qū) | 測硬件 | 網(wǎng)站活動(dòng) | Z幣中心

新手入門 / 進(jìn)階 / 社區(qū)互助

新手 | 你問我答 | 免費(fèi)刷機(jī)救磚 | ROM固件

知道嗎?智能電視正面臨6大攻擊威脅

2014-8-20 15:43| 查看: 9325| 評(píng)論: 0|來自: DVBCN數(shù)字電視中文網(wǎng)

摘要: 智能電視是一種可以和互聯(lián)網(wǎng)交互的電視產(chǎn)品,電視越智能,其提供的相關(guān)的網(wǎng)絡(luò)服務(wù)越多,它就越容易受到網(wǎng)絡(luò)攻擊。


  智能電視是一種可以和互聯(lián)網(wǎng)交互的電視產(chǎn)品,電視越智能,其提供的相關(guān)的網(wǎng)絡(luò)服務(wù)越多,它就越容易受到網(wǎng)絡(luò)攻擊。
 
  首先,智能電視并未提供給用戶命令接口,這使得確定網(wǎng)絡(luò)攻擊變得十分困難。其次,目前針對智能電視的專用的反殺毒還很少,甚至基于Linux 的智能電視系統(tǒng)還沒有任何的防殺毒軟件出現(xiàn),因此對智能電視的常見的攻擊方式進(jìn)行分析顯得更為重要。
 
  1)固件攻擊
 
  固件是電子設(shè)備的核心組件,負(fù)責(zé)控制和協(xié)調(diào)集成電路的功能。對于智能電視,固件用來管理電視硬件資源并為智能電視提供公共服務(wù)程序。
 
  固件同樣不提供任何界面形式的訪問接口給用戶,這看起來很安全,然而,如果惡意修改固件,并試圖獲取root訪問權(quán)限,則可能獲取整個(gè)電視的訪問權(quán)限。
 
  目前各大廠商多采用USB接口升級(jí)固件,而固件程序大多可從互聯(lián)網(wǎng)上自由獲取到,黑客可根據(jù)下載到的固件破解,并定制其自定義的程序到固件中達(dá)到其不法目的。
 
  2)瀏覽器攻擊
 
  瀏覽器是智能電視系統(tǒng)中的基礎(chǔ)應(yīng)用程序,通過瀏覽器可實(shí)現(xiàn)用戶和互聯(lián)網(wǎng)之間的交互。各個(gè)廠商目前大都將瀏覽器進(jìn)行了定制,支持基礎(chǔ)的Java 擴(kuò)展、Flash、cookie管理和SSL/TLS協(xié)議。
 
  SSL技術(shù)為Netscape 所研發(fā),是一種在客戶端和服務(wù)器端之間建立安全通道的協(xié)議。SSL 廣泛應(yīng)用于網(wǎng)上銀行、網(wǎng)上支付、電子商務(wù)等重要網(wǎng)絡(luò)服務(wù)中,基于智能電視瀏覽器的中間人攻擊是一種黑客可能采用的攻擊方式,智能電視瀏覽器建立連接到一個(gè)支持HTTPS的網(wǎng)站,而攻擊者在電視的瀏覽器和服務(wù)器之間對電視瀏覽器和服務(wù)器之間的通信進(jìn)行竊聽和篡改,以獲取用戶的網(wǎng)絡(luò)活動(dòng),包括賬戶、密碼等敏感信息,這是被動(dòng)攻擊中很難被發(fā)現(xiàn)的。
 
  具體可能采用DNS欺騙和ARP欺騙將雙方的會(huì)話通信流暗中改變,而這種改變對于會(huì)話雙方來說是完全透明的,DNS欺騙中,智能電視瀏覽器將DNS請求發(fā)送到攻擊者,然后攻擊者偽造DNS響應(yīng),將正確的IP地址替換為其他IP,智能電視瀏覽器就登錄了這個(gè)攻擊者指定的IP,而攻擊者早就在這個(gè)IP中安排好了一個(gè)偽造的網(wǎng)站如某銀行網(wǎng)站,從而騙取用戶輸入他們想得到的信息,如銀行賬號(hào)及密碼等,這可以看作一種網(wǎng)絡(luò)釣魚攻擊的一種方式。
 
  3)應(yīng)用程序攻擊
 
  各個(gè)智能電視廠商都各自建立了應(yīng)用商店,用戶可選擇安裝、更新或卸載應(yīng)用程序,而這些應(yīng)用程序是否存在系統(tǒng)中的特權(quán)?外部使用者是否可能在智能電視中創(chuàng)建和安裝一個(gè)非法程序?具體到某個(gè)智能電視廠商比如三星,其開發(fā)的智能電視應(yīng)用程序基于其自身的SDK,都支持Javascript,HTML,F(xiàn)lash。在Javascrpt中,有很多API可提供I/O、視頻、音頻、相機(jī)和打開、關(guān)閉、刪除、創(chuàng)建等權(quán)限,并存放在某個(gè)共享目錄下,而這些顯然都是root用戶才能獲取的權(quán)限,由于三星允許這種方式的文件訪問,攻擊者可以自己創(chuàng)建其他有害的應(yīng)用程序,并可能影響系統(tǒng)中的其他應(yīng)用。
 
  黑客可以使用上述方式開發(fā)出應(yīng)用程序,供用戶遠(yuǎn)程登錄到智能電視上,并可以開發(fā)者模式,配置和修改智能電視。
 
  4)遠(yuǎn)程幫助服務(wù)攻擊
 
  很多智能電視廠商都開發(fā)出了特定的遠(yuǎn)程管理服務(wù),用來幫助用戶解決所出現(xiàn)的各類故障,用戶只有手動(dòng)選擇選單,表示同意電視服務(wù)維護(hù)人員的遠(yuǎn)程協(xié)助,才能開啟這個(gè)功能;首先智能電視會(huì)生成一個(gè)隨機(jī)碼發(fā)送給三星的維護(hù)工程師,這個(gè)隨機(jī)碼是用來區(qū)分不同的請求幫助的用戶,而截獲上述通信過程可以使得黑客獲取更高的訪問智能電視的權(quán)限,從而達(dá)到控制智能電視的目的。
 
  5)利用DLNA 技術(shù)攻擊
 
  DLNA技術(shù)是由索尼、因特爾、微軟等發(fā)起成立、旨在解決個(gè)人PC、智能電視、移動(dòng)設(shè)備在內(nèi)的無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的互聯(lián)互通,使得數(shù)字媒體和內(nèi)容服務(wù)的無限制的共享和增長成為可能,其包括從上到下五個(gè)功能組件,依次為:網(wǎng)絡(luò)互聯(lián),網(wǎng)絡(luò)協(xié)議,媒體傳輸,設(shè)備的發(fā)現(xiàn)控制和管理,媒體格式。
 
  具體說來,DLNA本身是不支持加密的,因此,當(dāng)智能電視通過DLNA協(xié)議端口如55000和55001,與其他設(shè)備連接時(shí),其通信過程可能會(huì)被攔截,并泄露重要的認(rèn)證信息。
 
  6)遠(yuǎn)程控制攻擊
 
  現(xiàn)今有很多智能終端可以作為虛擬控制終端對智能電視進(jìn)行控制,通過前面提到的DLNA協(xié)議的55001端口就可以實(shí)現(xiàn)對智能電視的連接和控制,而對遙控器程序稍加改進(jìn)就可以模擬初始的認(rèn)證過程而可以任意訪問和控制智能電視設(shè)備。

鮮花

握手

雷人

路過

雞蛋

Archiver|新帖|標(biāo)簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號(hào) )

網(wǎng)絡(luò)信息服務(wù)信用承諾書 | 增值電信業(yè)務(wù)經(jīng)營許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號(hào)

GMT+8, 2024-11-19 21:27 , Processed in 0.050801 second(s), 8 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報(bào):report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

返回頂部