3月14日下午消息, 今天下午泰爾終端實驗室聯合OASES聯盟, 百度安全, 安天, 盤古, 掌禦等安全團體和廠商, 發布了人工智慧電視安全評測結果.
本次參與評測的品牌包括: 創維, 海信, TCL, 夏普, 長虹, 小米, 康佳, 微鯨, 飛利浦, 海爾, 樂視, 暴風TV. 評測結果結果顯示, 目前目前市面上的AI電視普遍存在一定安全風險, 其中包括安全漏洞未修複, 可被遠程安裝應用, 用戶個人資訊的未加密傳輸等, 主要分為以下三點:
1, 部分AI電視許可權調試通信埠管控不嚴, 系統最高root許可權可被遠程獲得. 即黑客可通過root許可權獲得電視的完全控制權, 甚至可以隨意遠程開關攝像頭, 安裝惡意軟體, 控制勒索, 播放違法廣告, 手機用戶隱私資訊等.
2, 部分產品對於用戶隱私資訊的傳輸未經加密, 對電視的遙控器, 語音操控指令甚至收視習慣均容易被不法分子竊取.
3, 由於大部分電視基於較老版本的安卓系統開發, 許多已被公開利用的漏洞未被修複. 黑客可根據漏洞獲取電視控制權和用戶隱私資訊.
此外, 泰爾終端實驗室表示未來還將發布更多有關AI智能電視的安全評測結果, 請繼續關注新浪科技的報道.
以下為報告全文:
近年來, 國內外媒體, 安全論壇頻繁爆出人工智慧電視資訊安全問題, 不法分子可利用人工智慧電視的各種安全隱患進行: 遠程式控制制電視, 遠程安裝惡意軟體, 遠程監控家庭等, 造成用戶隱私泄露或財產損失. 針對人工智慧電視可能存在的資訊安全問題, 泰爾終端實驗室近期聯合OASES聯盟, 百度安全, 安天, 盤古, 掌禦等安全團體和廠商, 組織開展了人工智慧電視安全評測.
本次安全評測實驗室選取了目前市場上標稱 'AI智能電視' 或 '人工智慧電視' 的12個主流品牌型號的產品, 包括: 創維, 海信, TCL, 夏普, 長虹, 小米, 康佳, 微鯨, 飛利浦, 海爾, 樂視, 暴風TV, 評測內容包括: 系統漏洞, 配置安全, 通信埠安全, 重要組件安全, 預置應用安全, 第三方軟體安裝安全, 語音控制模組安全和用戶敏感資訊安全等8個方面24項內容.
此次安全評測的產品普遍存在: 安全漏洞未修複, 配置不當, 越權操作, 調式通信埠防護不足, 應用可遠程靜默安裝, 漏洞修複率低, 用戶敏感資訊明文傳輸, 預置應用安全防護缺失等資訊安全問題, 這些問題將會給用戶帶來非常大的資訊安全風險, 人工智慧電視資訊安全狀況不容樂觀.
以下列舉出此次抽測的部分人工智慧電視存在的突出安全問題及可能造成的影響:
root許可權可被遠程獲取, 設備可被遠程劫持
部分被測人工智慧電視高許可權調試通信埠管控不嚴, 系統核心服務組件存在root提權漏洞, 不法分子可利用這些問題, 獲取電視的完全控制權, 即電視對於攻擊者處於完全 '裸露' 的狀態. 攻擊者可隨意實現遠程開關攝像頭, 安裝惡意應用, 控制勒索, 劫持電視播放內容顯示違法廣告, 收集用戶隱私生活資訊等操作. 用戶將會遭受隱私泄露, 財產損失, 設備無法使用, 甚至威脅到生命安全.
遠程執行adb shell命令
明文傳輸用戶資訊, 用戶隱私易被泄露和攻擊
部分被測人工智慧電視的預置應用存在明文傳輸用戶資訊的行為, 用戶的遙控器操作, 語音控制內容, 個人收視習慣資訊等可被攻擊者竊取或被惡意劫持. 例如, 某款產品在接收用戶手機端APP發來的遙控控制請求時使用明文傳輸, 導致內容可被中間人監聽, 攔截遙控器操作, 語音控制內容.
截獲語音搜索資訊
系統存在大量未修複漏洞, 安全防護缺失
人工智慧電視搭載的作業系統版本通常較舊, 且安全更新不完全. 通過對被測人工智慧電視的作業系統進行漏洞掃描和人工排查發現, 部分電視的作業系統存在大量未修複漏洞, 甚至存在已被公開利用的漏洞, 如: 髒牛漏洞(CVE-2016-5195), 藍芽漏洞(CVE-2017-0785)等, 攻擊者可利用已知漏洞, 獲得系統提權, 並可對系統進行破壞或竊取用戶賬戶資訊等.
某設備漏洞修複情況
搭載開放作業系統的人工智慧電視在給用戶帶來豐富體驗的同時, 也引入了大量安全風險, 我們希望相關設備廠商及時採取必要的安全防護手段, 增強作業系統和應用軟體的安全防護能力, 我們也提醒用戶及時安裝安全更新. 同時, 我們建議消費者提高安全意識, 盡量選擇經過安全認證的人工智慧電視產品, 保護自己的合法權益.
本次評測結果我們已經在第一時間向相關廠家反饋並願為相關企業提供相應的技術諮詢, 共同提高產品的安全防護能力.