Во второй половине дня 14 марта тайская терминальная лаборатория объединилась с Альянсом OASES, Baidu Security, Antiy, Pangu и Palm Security, а также выпустила результаты оценки безопасности для телевизоров с искусственным интеллектом.
Бренды, участвующие в оценке, включают в себя: Skyworth, Hisense, TCL, Sharp, Changhong, Xiaomi, Konka, Microwhale, Philips, Haier, LeTV, Storm TV. Результаты оценки показывают, что в настоящее время на рынке AI-телевизоров существует определенная степень безопасности. Риски, в том числе невосстановленные уязвимости безопасности, приложения, которые могут быть установлены удаленно, незашифрованные передачи личной информации пользователя и т. Д., В основном разделены на следующие три момента:
1. Некоторые порты отладки привилегий AI TV находятся под строгим контролем. Наивысшие права доступа к системе могут быть получены удаленно, т. Е. Хакеры могут получить полный контроль над телевизором через привилегии root. Они могут даже удаленно переключаться с камеры, устанавливать вредоносное программное обеспечение, контролировать выкуп и играть незаконно. Реклама, информация о конфиденциальности пользователей мобильных телефонов и т. Д.
2. Некоторые продукты не зашифрованы для передачи информации о конфиденциальности пользователей. Телевизионные пульты дистанционного управления, инструкции по манипулированию голосом и даже привычки просмотра легко украдены преступниками.
3. Поскольку большинство телевизоров основаны на более старых версиях Android, многие эксплойты, которые были публично эксплуатированы, не были исправлены. Хакеры могут получать права на ТВ-контроль и информацию о конфиденциальности пользователей на основе уязвимостей.
Кроме того, Tell Labs заявила, что в будущем она выпустит больше результатов оценки безопасности на интеллектуальных телевизорах AI. Пожалуйста, продолжайте обращать внимание на освещение технологии Sina.
Ниже приводится полный текст отчета:
В последние годы отечественные и зарубежные СМИ, форумы по вопросам безопасности часто нарушали проблему информационной безопасности телевизоров с искусственным интеллектом. Преступники могут использовать различные угрозы безопасности телевизоров с искусственным интеллектом: дистанционно управлять телевизорами, удаленно устанавливать вредоносное программное обеспечение, удаленно контролировать дома и создавать конфиденциальность пользователей. Утечка или повреждение имущества. Ввиду возможных проблем с информационной безопасностью в телевизорах с искусственным интеллектом Лаборатория терминала Thetel недавно провела совместные оценки с организациями OASES Alliance, Baidu Security, Antiy, Pangu и Palm Control Security и производителями. ,
Лаборатория оценки безопасности выбрала 12 основных брендов и моделей текущего «AI Smart TV» или «Искусственного интеллектуального телевидения» на рынке, включая: Skyworth, Hisense, TCL, Sharp, Changhong, Xiaomi, Konka, Micro. Whale, Philips, Haier, LeTV, Storm TV, Содержание оценки: систематические уязвимости, безопасность конфигурации, безопасность портов, важная безопасность компонентов, обеспечение безопасности приложений, сторонняя безопасность установки программного обеспечения, безопасность модуля голосового управления и конфиденциальность информации пользователя и т. Д. 8 24 элемента во всех аспектах.
Широко распространены продукты для оценки безопасности: неповрежденные уязвимости безопасности, неправильная настройка, несанкционированные операции, недостаточная защита портов настройки, приложения, которые могут быть тихо установлены дистанционно, низкие скорости восстановления уязвимостей, прозрачная передача конфиденциальной информации пользователя и отсутствие предустановленной информации о защите Проблемы безопасности, эти проблемы будут давать пользователям очень большой риск информационной безопасности, ситуация с безопасностью информации в области искусственного интеллекта не оптимистична.
Ниже перечислены некоторые из выдающихся проблем безопасности и возможных воздействий некоторых телевизоров с искусственным интеллектом, которые были отобраны на этот раз:
Корневые разрешения могут быть получены удаленно, устройства могут быть удалены удаленно
Некоторые из тестируемых портов отладки с высоким привилегированным уровнем AI TV строго контролируются, и в основных компонентах службы системы есть лазейки с привилегией root. Преступники могут использовать эти проблемы для полного контроля над телевизором, т. Е. Телевизор полностью «голый» для злоумышленника. Злоумышленник может удаленно переключаться с камер, устанавливать вредоносные приложения, управлять вымогательством, захватывать ТВ-контент, отображать незаконную рекламу, собирать информацию о конфиденциальности пользователей и т. Д. Пользователи будут страдать от утечки конфиденциальной информации, повреждения имущества, сбоя оборудования и даже угроз. Безопасность жизни.
Удаленное выполнение команд оболочки adb
Простая передача информации пользователя, конфиденциальность пользователя может быть легко раскрыта и атакована
Часть предопределенного применения искусственного интеллектуального телевизора имеет поведение передачи информации пользователя в ясности, операцию дистанционного управления пользователя, контент управления голосовым сообщением, информацию о привычном виде просмотра и т. Д., Могут быть украдены злоумышленником или угнаны злоумышленниками. Например, продукт получает Передача открытого текста используется, когда запрос удаленного управления, отправленный мобильным телефоном мобильного телефона пользователя, заставляет контент перехватываться посредником, перехватывая работу пульта дистанционного управления и контент управления голосовым сообщением.
Перехватить голосовую информацию
В системе существует большое количество неустранимых уязвимостей.
Версия операционной системы телевизора с искусственным интеллектом обычно старше, а обновление для системы безопасности не завершено. С помощью сканирования лазеров и ручного поиска неисправностей в операционной системе искусственного искусственного телевизора установлено, что в операционных системах некоторых телевизоров существует большое количество уязвимостей, которые не были устранены. Уязвимости, уязвимые на публичной основе, такие как: Уязвимость Dirty Cow Vault (CVE-2016-5195), уязвимости Bluetooth (CVE-2017-0785) и т. Д., Позволяют злоумышленникам использовать известные уязвимости, получить системные права и повредить систему. Кража информации учетной записи пользователя и т. Д.
Исправить ошибку в устройстве
Искусственные интеллектуальные телевизоры, оснащенные открытыми операционными системами, приносят богатый опыт пользователям, а также создают множество рисков для безопасности. Мы надеемся, что соответствующие производители оборудования могут своевременно принять необходимые меры безопасности для повышения возможностей защиты операционных систем и прикладного программного обеспечения. Он также напоминает пользователям своевременно устанавливать обновления безопасности. В то же время мы рекомендуем потребителям повысить уровень осведомленности о безопасности и попытаться выбрать безопасные сертифицированные телевизионные продукты искусственного интеллекта для защиты своих законных прав и интересов.
В результате этой оценки мы впервые обратились к соответствующим производителям и готовы предоставить соответствующие технические рекомендации связанным компаниям для совместного улучшения возможностей защиты продукта.