Na tarde de 14 de março, o laboratório do terminal tailandês se uniu à OASES Alliance, Baidu Security, Antiy, Pangu e Palm Security, e divulgou os resultados da avaliação de segurança para TVs de inteligência artificial.
As marcas que participam da avaliação incluem: Skyworth, Hisense, TCL, Sharp, Changhong, Xiaomi, Konka, Microwhale, Philips, Haier, LeTV, Storm TV. Os resultados da avaliação mostram que geralmente existem TVs de segurança no mercado atualmente. Os riscos, incluindo vulnerabilidades de segurança não reparadas, aplicativos que podem ser instalados remotamente, transmissões não criptografadas de informações pessoais do usuário, etc., são divididos principalmente nos seguintes três pontos:
1. Algumas portas de depuração de privilégios de TV de AI estão sob controle rigoroso. O privilégio de raiz mais alto do sistema pode ser obtido remotamente. Ou seja, um hacker pode obter controle total da TV através de privilégios de root e pode mudar remotamente as câmeras, instalar softwares maliciosos, controlar o ransomware e jogar ilegalmente. Publicidade, informações de privacidade do usuário do telefone celular, etc.
2. Alguns produtos não são criptografados para transmissão de informações de privacidade do usuário. Controles remotos de TV, instruções de manipulação de voz e até mesmo hábitos de visualização são facilmente roubados por criminosos.
3. Uma vez que a maioria das TVs são baseadas em versões antigas do Android, muitas explorações que foram exploradas publicamente não foram corrigidas. Os hackers podem obter direitos de controle de TV e informações de privacidade do usuário com base em vulnerabilidades.
Além disso, a Tell Labs afirmou que liberará mais resultados de avaliação de segurança em TVs inteligentes de AI no futuro. Por favor, continue a prestar atenção à cobertura da Sina Technology.
A seguir, o texto completo do relatório:
Nos últimos anos, os meios de comunicação nacionais e estrangeiros, os fóruns de segurança freqüentemente quebraram o problema de segurança da informação de televisões de inteligência artificial. Os criminosos podem usar os vários riscos de segurança de televisores de inteligência artificial para: controlar remotamente as televisões, instalar softwares maliciosos remotamente, monitorar casas remotamente e criar privacidade do usuário. Vazamento ou danos à propriedade. Em vista de possíveis problemas de segurança da informação em televisões de inteligência artificial, o Thetel Terminal Laboratory realizou recentemente avaliações conjuntas com as organizações de segurança, fabricantes e fabricantes OASES Alliance, Baidu Security, Antiy, Pangu e Palm Control Security. .
O laboratório de avaliação de segurança selecionou 12 marcas e modelos mainstream da atual 'Smart TV inteligente' ou 'Artificial Smart TV' no mercado, incluindo: Skyworth, Hisense, TCL, Sharp, Changhong, Xiaomi, Konka, Micro. Whale, Philips, Haier, LeTV, Storm TV, Conteúdo de Avaliação: Vulnerabilidades Sistemáticas, Segurança de Configuração, Segurança de Porta, Segurança Importante de Componentes, Segurança de Aplicação Aprovada, Segurança de Instalação de Software de Terceira, Segurança do Módulo de Controle de Voz e Segurança Sensível à Informação do Usuário, etc. 8 24 itens em todos os aspectos.
Os produtos de avaliação de segurança são generalizados: vulnerabilidades de segurança não reparadas, configuração imprópria, operações não autorizadas, proteção de porta de ajuste insuficiente, aplicativos que podem ser instalados silenciosamente remotamente, baixas taxas de reparo de vulnerabilidades, transmissão de informações transparente e sensível ao usuário e informações de proteção de segurança de aplicativos predefinidos faltantes Problemas de segurança, essas questões darão aos usuários um risco de segurança da informação muito grande, a situação de segurança da informação de televisão artificial não é otimista.
A seguir, são listadas algumas das questões de segurança pendentes e os possíveis impactos de algumas das TVs de inteligência artificial que foram amostradas desta vez:
As permissões de raiz podem ser obtidas remotamente, os dispositivos podem ser seqüestrados remotamente
Algumas das portas testadas de depuração de alto privilégio da AI TV não são rigorosamente controladas. Existem falhas de escalonamento de privilégios de root nos principais componentes do sistema. Os criminosos podem usar esses problemas para obter o controle total da TV. Isso significa que a TV está completamente "descoberta" para o atacante. O invasor pode alternar remotamente câmeras, instalar aplicativos maliciosos, ransomware de controle, remover conteúdo de TV, exibir anúncios ilegais, coletar informações de privacidade do usuário, etc. Os usuários sofrerão vazamentos de privacidade, danos à propriedade, falhas de equipamentos e até ameaças. Segurança na vida.
Execução remota dos comandos do shell adb
Transmissão em texto simples das informações do usuário, a privacidade do usuário pode ser facilmente divulgada e atacada
Uma parte da aplicação pré-determinada da TV inteligente artificial tem o comportamento de transmitir informações de usuários em claro, a operação de controle remoto do usuário, conteúdo de controle de voz, informações de hábito de visualização pessoal, etc. podem ser roubadas pelo invasor ou serem seqüestradas por pessoas mal-intencionadas. Por exemplo, um produto está recebendo A transmissão de texto simples é usada quando o pedido de controle remoto enviado pela aplicação do telefone móvel do usuário faz com que o conteúdo seja interceptado pelo intermediário, interceptando a operação de controle remoto e conteúdo de controle de voz.
Interceptar informações de pesquisa por voz
Há um grande número de vulnerabilidades não reparadas no sistema.
A versão do sistema operacional da TV de inteligência artificial geralmente é mais antiga e a atualização de segurança está incompleta. Através da verificação de lacunas e da resolução de problemas manuais do sistema operacional da TV artificial artificial em teste, verifica-se que existe uma grande quantidade de vulnerabilidades não reparadas nos sistemas operacionais de algumas TVs. Vulnerabilidades exploradas publicamente, tais como: Vulnerabilidade Dirty Cow (CVE-2016-5195), vulnerabilidades Bluetooth (CVE-2017-0785), etc., permitem que os invasores explorem vulnerabilidades conhecidas, ganhem direitos do sistema e danifiquem o sistema. Roubando informações de conta de usuário, etc.
Corrigir um erro em um dispositivo
As TVs de inteligência artificial equipadas com sistemas operacionais abertos trazem uma grande experiência aos usuários e também apresentam uma grande quantidade de riscos de segurança. Esperamos que os fabricantes de equipamentos relevantes tomem as medidas de segurança necessárias a tempo de aprimorar os recursos de proteção de segurança de sistemas operacionais e aplicativos. Também lembra aos usuários que instalem atualizações de segurança em tempo hábil. Ao mesmo tempo, recomendamos que os consumidores aumentem sua consciência de segurança e tentam escolher produtos de TV de inteligência artificial seguros e certificados para proteger seus direitos e interesses legítimos.
Os resultados desta avaliação, temos feedback para os fabricantes relevantes na primeira vez e estamos dispostos a fornecer aconselhamento técnico relevante para empresas relacionadas para melhorar em conjunto as capacidades de proteção de segurança do produto.