飞利浦2013款中高端智能电视被曝存安全漏洞

腾讯数码04-01 09:56

 智能电视现在已经在许多消费者客厅中的扮演着重要的角色,但是既然作为智能设备,那么安全性就同样非常重要。根据最新的报告显示,飞利浦智能电视的最新版本固件目前存在了一个并不安全的Miracast无线网络漏洞,可以让潜在攻击者通过远程信号控制电视以及进行未经授权的操作。

101266008.jpg

来自Malta机构的研究人员在基于ReVulu公司最近公布的一段演示视频后表示,攻击者可以通过飞利浦智能电视在连接到不安全的无线网络后发起攻击。这些潜在的攻击方式包括访问电视的配置文件、访问通过USB存储装置的文件、连接到电视、广播视频、音频和电视图像,甚至可以通过外部的电视遥控应用程序来从电视中的Cookie中窃取用户网站的身份验证。通过Miracast打开不安全的网络后,用户在通过台式电脑、平板电脑、手机或其它设备中投射到电视屏幕上的图像就会被黑客窃取。

ReVulu安全机构的研究人员在上周五的邮件中表示,飞利浦智能电视最弱的固件系统在通过特定的DIRECT-xy和标识符接入到无线网络后,就有可能陷入成为攻击目标。

“所以基本上用户可以没有任何限制的直接将电视接入到无线网络中,”研究人员表示。“Miracast功能是默认启用并且无法更改密码的,我们曾经尝试所有可能的方法按照飞利浦电视使用手册中的建议来重置,但是电视依然允许任何人都可以进行连接。”

通常智能电视都不会采取任何额外的安全措施,比如为每一个无线客户端生成独特的密匙,在想要连接电视机之前进行手动授权等。

这个问题也能并不存在于所有的飞利浦智能电视中,而只是针对最新版本的固件才发现了这个漏洞。通过在一些卖场中运行旧版本固件的电视进行测试,并没有发现此次提到的漏洞。

研究人员测试的是飞利浦55英寸的55PFL6008S智能电视,相信还有另外许多2013年款的型号都存在同样的问题,因为这些电视使用的都是相同的固件。比如47PFL6158、55PFL8008以及84PFL9708等,虽然尺寸不同,但是固件版本都一样。

不安全的无线访问再加上JointSpace服务漏洞,可以允许外部程序远程控制电视,甚至可以允许攻击者直接提取电视机的配置文件、USB设备中的文件或存在于电视机浏览器中的Cookie、Gmail信息等。

“比如Opera浏览器的Cookie通常都会将所有的网站信息和电视应用程序保存在固定的一个文件夹中,拥有固定的路径和名称,因此这非常容易被人远程下载。”研究人员说。而这些Cookie可以让或记者获得用户的网络账户数据。而成功的几率则取决于用户访问每个网站的附加安全措施。

根据来自位于柏林一家名叫Schobert信息安全咨询公司在去年9月公开披露的JointSpace信息来看,他们认为漏洞或许并不像ReVulu公司声称的那样只存在于飞利浦电视机的最新版本固件中。

但是,即使这个漏洞被修补好,通过Miracast方式接入无线网络仍然很难让我们拥有安全感,比如攻击者依然可以通过外部应用程序或远程控制电视机来控制视频和音频内容。

“我们已经意识到ReVulu机构提出的在2013年高端系列电视机中存在关于Miracast的安全问题,”飞利浦和冠捷科技组成的合资公司负责全球通信的主管Eva Heller在一份电子邮件中声明。“我们的专家正在对此进行调查并积极修复。”

消费者要做的,除了等待修复漏洞之外,还需要关掉电视机默认开启的Wi-Fi Miracast功能。步骤是按下遥控其中的导航按钮到设置界面,然后选择网络设置,找到Wi-Fi Miracast并且关闭即可。

电科技(www.diankeji.com)是一家专注于全球TMT行业的领先资讯媒体。

作为今日头条青云计划、百家号百+计划获得者,2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者,曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。

投稿、商务合作请联络微信公众号

声明:本站原创文章文字版权归电科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表电科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。

//59087780b049bbb54ef4ba547ea51910