Сотрудник швейцарской компании Oneconsult Рафаэль Шеель (Rafael Scheel) представил на конференции EBU Media Cyber Security Seminar уникальную и очень опасную методику атак на «умные» телевизоры. Метод исследователя позволяет превратить любой «умный» телевизор в шпионское устройство или использовать его для DDoS-атак.
Шеель рассказывает, что взломать с помощью предложенного им метода можно 90% современных телевизоров. При этом стоит учесть, что речь идет об удаленном взломе, тогда как обычно подобные атаки требуют физического доступа к устройству. К примеру, в опубликованных недавно секретных документах ЦРУ была описана малварь Weeping Angel, направленная против телевизоров Samsung. Но даже для ее установки все же требовался физический доступ.
Методика исследователя строится вокруг использования стандарта Hybrid Broadcast Broadband TV (HbbTV), который «понимают» практически все современные кабельные провайдеры и устройства. Стандарт поддерживается DVB-T, DVB-C и IPTV. Шеель объясняет, что кто угодно можно вооружиться кастомным трансмиттером DVB-T и, потратив на оборудование $50-100, начать транслировать собственный DVB-T сигнал.
Телевизоры по умолчанию выбирают подключение к более устойчивому сигналу. Так как кабельные провайдеры вещают с расстояния десятков или сотен километров, атакующий со своим DVB-T сигналом окажется в более приоритетной позиции. Шеель утверждает, что DVB-T трансмиттер можно вообще прикрепить к дрону и, к примеру, прицельно атаковать определенные этажи здания.
Исследователь рассказывает, что корнем проблемы является HbbTV. Будучи передан через DVB-T он поддерживается любыми телевизорами и позволяет сообщать им команды, в результате чего «умное» устройство запросит и откроет нужный сайт в фоновом режиме. Пользователь даже не заметит этого.
Опираясь на эту особенность, Шеель создал два эксплоита, которые разместил на своем сайте. Как только телевизор заходит на сайт исследователя через встроенный браузер, вредоносный код выполняется, и исследовать получается root-доступ к устройству, перехватывая контроль. Для первого эксплоита специалист задействовал уязвимость CVE-2015-3090 (одну из 0-day уязвимостей во Flash, о которой стало известно после утечки данных у компании Hacking Team). Дело в том, что многие встроенные браузеры телевизоров поставляются со включенным по умолчанием плагином Flash Player. Второй эксплоит, созданный исследователем, использует старую уязвимость, связанную с JavaScript функцией Array.prototype.sort(), что тоже срабатывает для всех браузеров «умных» телевизоров, даже для тех, которые не имеют дырявого Flash Player. Второй эксплоит позволил исследователю расширить доступ и скомпрометировать не только встроенный браузер, но добраться до прошивки ТВ.
Шеель объясняет, что в настоящий момент на рынке «умных» телевизоров не наблюдается большого разнообразия операционных систем, что играет на руку атакующему. Не понадобится создавать множество эксплоитов для различных моделей и марок ТВ, эксплоиты одинаково хорошо подходят для разных устройств. Кроме того, многие производители не спешат выпускать патчи и обновления для своих телевизоров, и в итоге уязвимости в них не исправляются годами или попросту никогда.
Более того, атаку Шееля крайне тяжело обнаружить. Дело в том, что переданные посредством DVB-T команды HbbTV – это сигнал, идущий в одном направлении, от атакующего к жертве. Засечь такую атаку возможно лишь непосредственно заметив момент передачи, которая может длиться всего минуту. При этом атакующий может «скормить» телевизору любой бэкдор, а также поработать над механизмом получения обновлений, то есть избавиться от такого заражения будет крайне непросто. Шеель говорит, что, возможно, проще избавиться от самого телевизора. Специалист тестировал использование вредоносных HbbTV команд только в связке с DVB-T, однако в теории атака должна работать и в случае DVB-C (Digital Video Broadcasting - Cable) или IPTV.
Специалист пишет, что возможности потенциального злоумышленника широки и разнообразны. Так, малварь, внедренная в прошивку ТВ, может сделать его частью IoT-ботнета; может использовать телевизор в качестве входной точки для последующих атак на корпоративную сеть; может шпионить за пользователем через микрофон и камеру устройства и похищать данные; может даже внедрять рекламу.
По словам Шееля, он не первый обратил внимание на проблему HbbTV. Еще в 2015 году специалисты из Колумбийского университета предупрежали об этой проблеме, но HbbTV Consortium фактически проигнорировал их, так как готового эксплоита для телевизоров у исследователей не было.
Ниже можно увидеть выступление Шееля на EBU Media Cyber Security Seminar в Женеве. Во время презентации специалист продемонстрировал атаку в действии.